Las autoridades policiales en el Reino Unido arrestaron a dos miembros adolescentes del grupo de piratería de arañas dispersas en relación con su supuesta participación en un ataque cibernético de agosto de 2024 dirigido al transporte de Londres (TFL), la agencia de transporte público de la ciudad.
Thalha Jubair (también conocida como EarthTostar, Brad, Austin y @autistic), de 19 años, de East London y Owen Flowers, de 18 años, de Walsall, West Midlands, dijo el martes en su casa, dijo la Agencia Nacional de Delitos (NCA). Son 19 y 18, respectivamente.
Vale la pena señalar que Flowers fue arrestado inicialmente por su presunta participación en el ataque de TFL en septiembre de 2024, pero posteriormente fue liberado bajo fianza. La agencia dijo que encontró evidencia de flores que se dirigen a las compañías de salud estadounidenses, y que también se le ha acusado de conspirar con otros para infiltrarse y dañar las redes de SSM Health Care Corporation y Sutter Health.
Jubair también ha sido acusado bajo la Regulación de la Ley de Poderes de Investigación (RIPA) 2000 por no entregar alfileres y contraseñas para dispositivos incautados por la policía de él el 19 de marzo de 2025.
«Este ataque causó una interrupción significativa y millones de pérdidas ante TFL, parte de la infraestructura nacional crítica del Reino Unido», dijo el subdirector Paul Foster, jefe de la Unidad Nacional de Crimen Cibernético de la NCA. «A principios de este año, la NCA advirtió sobre un aumento en la amenaza de los ciberdelincuentes con sede en el Reino Unido y otros países de habla inglesa, de los cuales la araña dispersa es un claro ejemplo».
En conjunto, el Departamento de Justicia de los Estados Unidos (DOJ) reveló una queja que cobró a Jubair de conspiraciones para cometer fraude informático, fraude electrónico y lavado de dinero en relación con al menos 120 intrusiones de la red informática y extorsionar a 47 entidades estadounidenses de mayo de 2022 a septiembre de 2025.
Estos ataques implicaron el uso de técnicas de ingeniería social para obtener acceso no autorizado a las redes objetivo, y luego aprovechar ese acceso a la información de robo y cifre, y exigir el rescate de las víctimas a cambio de recuperar el control y evitar la fuga de los datos exfiltrados.
Según la queja, las víctimas pagaron al menos $ 115,000,000 en pagos de rescate. Los incidentes, agregó el Departamento de Justicia, causaron interrupciones generalizadas para las empresas y organizaciones estadounidenses, incluida la infraestructura crítica y el sistema de la corte federal, en octubre de 2024 y enero de 2025.
En julio de 2024, el Departamento de Justicia dijo que la policía confiscó billeteras de criptomonedas en un servidor supuestamente controlado por Jubair y activos digitales confiscados por un valor de aproximadamente $ 36 millones en ese momento. También se dice que Jubair transfirió una parte de los ingresos que se originó en una de las víctimas, con un valor de aproximadamente $ 8.4 millones en ese momento, a otra billetera.
Jubair ha sido acusado de conspiración de fraude informático, dos cargos de fraude informático, conspiración de fraude electrónico, dos cargos de fraude electrónico y conspiración de lavado de dinero. Si es declarado culpable, enfrenta una pena máxima de 95 años de prisión.
«Jubair llegó a un gran y sofisticado para mantenerse en el anonimato mientras él y sus asociados criminales continuaron atacando a estas víctimas y extorsionan decenas de millones de dólares en pagos de rescate», dijo Alina Haba, abogada y abogado especial para el distrito de Nueva Jersey.