审判首日 分散蜘蛛黑客认罪

Krebs on Security 新闻
cybersecurity hacking guilty-plea scattered-spider ransomware phishing sim-swapping

摘要

分散蜘蛛(Scattered Spider)网络犯罪集团的两名关键成员Thalha Jubair和Owen Flowers在英国认罪,承认参与2024年针对伦敦交通局(Transport for London)的网络攻击以及涉及勒索软件、SIM卡交换和钓鱼攻击的其他攻击活动,这些攻击影响了超过130个组织。

<p>两名男子本周在英国认罪,承认与2024年8月一次导致大伦敦地区公共交通网络实体<strong>伦敦交通局</strong>瘫痪的网络攻击相关的刑事指控。这两人是名为<strong>分散蜘蛛(Scattered Spider)</strong>的多产网络犯罪集团的关键成员,他们的认罪发生在原定为期六周的审判的第一天。</p> <div id="attachment_73881" style="width: 760px" class="wp-caption aligncenter"><img aria-describedby="caption-attachment-73881" decoding="async" class=" wp-image-73881" src="https://krebsonsecurity.com/wp-content/uploads/2026/06/flowers-jubair-nca.png" alt="" width="750" height="421" srcset="https://krebsonsecurity.com/wp-content/uploads/2026/06/flowers-jubair-nca.png 926w, https://krebsonsecurity.com/wp-content/uploads/2026/06/flowers-jubair-nca-768x431.png 768w, https://krebsonsecurity.com/wp-content/uploads/2026/06/flowers-jubair-nca-782x439.png 782w" sizes="(max-width: 750px) 100vw, 750px" /><p id="caption-attachment-73881" class="wp-caption-text">Owen Flowers(左)18岁,和Thalha Jubair,20岁。图片来源:英国国家犯罪局(NCA)。</p></div> <p>来自东伦敦的20岁<strong>Thalha Jubair</strong>和来自沃尔索尔的18岁<strong>Owen Flowers</strong>承认串谋对伦敦交通局计算机系统进行未经授权的行为,并造成对人类福利的严重损害风险。根据BBC的<a href="https://www.bbc.com/news/articles/czx5yp9qy0do" target="_blank" rel="noopener">报道</a>,仅Flowers一人就承认参与了一项串谋,于2024年9月入侵位于美国的医疗保健提供商SSM Health Care Corporation和Sutter Health。</p> <p>Jubair也受到美国执法机构的通缉。2025年9月,新泽西州检察官公布了一份<a href="https://www.justice.gov/opa/pr/united-kingdom-national-charged-connection-multiple-cyber-attacks-including-critical" target="_blank" rel="noopener">起诉书</a>,指控Jubair和其他分散蜘蛛成员在2022年5月至2025年9月期间,在涉及47个美国实体的120次计算机网络入侵中犯有计算机欺诈、电信欺诈和洗钱罪,并且该集团的受害者至少支付了1.15亿美元的赎金。</p> <p>2025年7月,KrebsOnSecurity <a href="https://krebsonsecurity.com/2025/07/uk-charges-four-in-scattered-spider-ransom-group/" target="_blank" rel="noopener">报道</a>称,Flowers和Jubair在英国因与分散蜘蛛针对零售商<strong>Marks &amp; Spencer</strong>和<strong>Harrods</strong>以及英国食品零售商<strong>Co-op Group</strong>的<a href="https://www.thetimes.com/uk/technology-uk/article/ransoms-hackers-cyber-crime-t5kjldwwm" target="_blank" rel="noopener">勒索攻击</a>有关而被捕。多个熟悉这些调查的消息源称,Flowers是分散蜘蛛成员,在2023年9月该集团针对<strong>MGM Resorts</strong>和<strong>Caesars Entertainment</strong>拥有的拉斯维加斯赌场的勒索软件攻击中断运营后,他匿名<a href="https://krebsonsecurity.com/2024/09/the-dark-nexus-between-harm-groups-and-the-com/" target="_blank" rel="noopener">向媒体发表言论</a>。</p> <p>据检察官称,Jubair共同运营着一个繁忙的Telegram频道<strong>Star Chat</strong>,这是一个<a href="https://krebsonsecurity.com/?s=SIM-swapping" target="_blank" rel="noopener">SIM卡交换</a>团体的家园,该团体使用基于语音和短信的钓鱼攻击窃取美国和英国主要无线运营商员工的凭据。然后,该团体利用这些访问权限销售一种服务,可以将目标的电话号码重定向到攻击者控制的设备,并拦截受害者的电话和短信(包括多因素认证的一次性验证码)。</p> <div id="attachment_72238" style="width: 819px" class="wp-caption aligncenter"><img aria-describedby="caption-attachment-72238" decoding="async" loading="lazy" class="size-full wp-image-72238" src="https://krebsonsecurity.com/wp-content/uploads/2025/09/rocketace-tmobile.png" alt="" width="809" height="915" srcset="https://krebsonsecurity.com/wp-content/uploads/2025/09/rocketace-tmobile.png 809w, https://krebsonsecurity.com/wp-content/uploads/2025/09/rocketace-tmobile-768x869.png 768w, https://krebsonsecurity.com/wp-content/uploads/2025/09/rocketace-tmobile-782x884.png 782w" sizes="(max-width: 809px) 100vw, 809px" /><p id="caption-attachment-72238" class="wp-caption-text">Star Fraud Chat的SIM卡交换服务针对T-Mobile客户的收据,该团体在获得内部T-Mobile员工工具后利用该服务。“Rocket Ace”是Jubair的一个黑客别名,据美国检察官称。</p></div> <p>新泽西州检察官还指控Jubair参与了2022年夏季的一次大规模<a href="https://krebsonsecurity.com/2022/08/how-1-time-passcodes-became-a-corporate-liability/" target="_blank" rel="noopener">SMS钓鱼活动</a>,该活动窃取了数百家公司员工的单点登录凭据。这次持续数周的SMS钓鱼活动导致超过130个组织遭到入侵和数据盗窃,包括<strong>LastPass</strong>、<strong>DoorDash</strong>、<strong>Mailchimp</strong>、<strong>Plex</strong>和<strong>Signal</strong>。<span id="more-73876"></span></p> <p>KrebsOnSecurity去年报道称,Jubair在15岁时的一个化身是“<strong>Everlynn</strong>”,一个销售<a href="https://krebsonsecurity.com/?s=fake+edr" target="_blank" rel="noopener">虚假“紧急数据请求”</a>的黑客,该请求使用被入侵的警察和政府电子邮件地址向大型科技公司索要订阅者数据(例如用户名、IP/电子邮件地址),声称这些请求涉及生死攸关的紧急事务,无法等待法院命令。</p> <p>2026年4月,24岁的英国国民兼分散蜘蛛成员<strong>Tyler “Tylerb” Buchanan</strong> <a href="https://krebsonsecurity.com/2026/04/scattered-spider-member-tylerb-pleads-guilty/" target="_blank" rel="noopener">认罪</a>,承认参与该集团2022年夏季的SMS钓鱼浪潮,犯有电信欺诈共谋和严重身份盗窃罪。政府称Buchanan、Jubair和其他人在该钓鱼活动中利用获取的凭据从美国各地的受害者那里窃取了至少800万美元的加密货币。Buchanan目前定于10月2日被判刑。</p> <p>2025年8月,来自佛罗里达州的20岁分散蜘蛛成员<strong>Noah Michael Urban</strong>被<a href="https://krebsonsecurity.com/2025/08/sim-swapper-scattered-spider-hacker-gets-10-years/" target="_blank" rel="noopener">判处10年联邦监禁</a>,并被责令支付1300万美元的赔偿金,此前他承认了电信欺诈和共谋指控。</p> <p>美国司法部表示,与Buchanan一同被起诉的三名所谓分散蜘蛛被告仍面临指控,包括来自德克萨斯州大学城的24岁被告<strong>Ahmed Hossam Eldin Elbadawy</strong>(别名“AD”)、来自德克萨斯州达拉斯的21岁被告<strong>Evans Onyeaka Osiebo</strong>,以及来自北卡罗来纳州杰克逊维尔的26岁被告<strong>Joel Martin Evans</strong>(别名“joeleoli”)。</p> <p>Flowers和Jubair定于2026年7月15日在伦敦法院被判刑。</p>
查看原文
查看缓存全文

缓存时间: 2026/06/23 19:41

# “分散蜘蛛”黑客在审判首日认罪 来源:https://krebsonsecurity.com/2026/06/scattered-spider-hackers-plead-guilty-on-day-1-of-trial/ 本周,两名男子在英国对2024年8月导致**伦敦交通局**瘫痪的网络攻击相关的刑事指控认罪。伦敦交通局负责大伦敦地区的公共交通网络。这两人是知名网络犯罪团伙**Scattered Spider**的关键成员,他们在原定为期六周的审判首日便认罪了。 Owen Flowers(左),18岁,和 Thalha Jubair,20岁。图片:英国国家犯罪局(NCA)。 20岁的**Thalha Jubair**(东伦敦人)和18岁的**Owen Flowers**(来自沃尔索尔)承认合谋对伦敦交通局计算机系统实施未经授权的行为,并造成可能严重危害人类福祉的风险。据BBC的[一篇报道](https://www.bbc.com/news/articles/czx5yp9qy0do)称,Flowers单独承认参与了2024年9月对美国医疗机构SSM Health Care Corporation和Sutter Health的入侵阴谋。 Jubair还受到美国执法机构的通缉。2025年9月,新泽西州的检察官公布了[一份起诉书](https://www.justice.gov/opa/pr/united-kingdom-national-charged-connection-multiple-cyber-attacks-including-critical),指控Jubair及其他Scattered Spider成员在2022年5月至2025年9月期间,针对47家美国实体实施了120次计算机网络入侵,涉及计算机欺诈、电信欺诈和洗钱,该团伙的受害者支付的赎金至少达1.15亿美元。 2025年7月,KrebsOnSecurity[报道](https://krebsonsecurity.com/2025/07/uk-charges-four-in-scattered-spider-ransom-group/)称,Flowers和Jubair在英国因与Scattered Spider针对零售商**Marks & Spencer**、**Harrods**以及英国食品零售商**Co-op Group**的[勒索攻击](https://www.thetimes.com/uk/technology-uk/article/ransoms-hackers-cyber-crime-t5kjldwwm)有关而被捕。多位熟悉这些调查的消息人士称,Flowers正是那个在团伙于2023年9月发起勒索软件攻击,导致**MGM Resorts**和**Caesars Entertainment**旗下的拉斯维加斯赌场运营中断后,[匿名向媒体提供采访](https://krebsonsecurity.com/2024/09/the-dark-nexus-between-harm-groups-and-the-com/)的Scattered Spider成员。 据检察官称,Jubair共同运营着一个名为**Star Chat**的热门Telegram频道,这是一个[SIM卡交换](https://krebsonsecurity.com/?s=SIM-swapping)团伙的大本营,该团伙利用语音和短信钓鱼攻击窃取美英主要无线运营商员工的凭证。然后,该团伙利用这些访问权限出售一项服务,将目标的手机号码重定向到攻击者控制的设备,从而截获受害者的电话和短信(包括用于多因素认证的一次性验证码)。 Star Fraud Chat的SIM卡交换服务收据,该服务针对一名T-Mobile客户,是在该团伙获取内部T-Mobile员工工具后进行的。据美国检察官称,“Rocket Ace”是Jubair使用的黑客化名之一。 新泽西州的检察官还指控Jubair参与了2022年夏季的一场[大规模短信钓鱼活动](https://krebsonsecurity.com/2022/08/how-1-time-passcodes-became-a-corporate-liability/),该活动窃取了数百家公司员工的单点登录凭证。这场持续数周的短信钓鱼活动导致了包括**LastPass**、**DoorDash**、**Mailchimp**、**Plex**和**Signal**在内的130多家组织的入侵和数据被盗。 KrebsOnSecurity去年报道称,Jubair在15岁时的另一个身份是“**Everlynn**”,一名黑客,出售欺诈性的[紧急数据请求](https://krebsonsecurity.com/?s=fake+edr),这些请求利用被入侵的警察和政府邮箱地址向大型科技公司索取用户数据(例如用户名、IP/电子邮件地址),声称请求涉及紧急的生与死问题,无法等待法院命令。 2026年4月,24岁的英国公民、Scattered Spider成员**Tyler “Tylerb” Buchanan**因参与该团伙2022年夏季的短信钓鱼活动,对电信欺诈共谋和严重身份盗窃指控[认罪](https://krebsonsecurity.com/2026/04/scattered-spider-member-tylerb-pleads-guilty/)。政府称,Buchanan、Jubair及其他人在该钓鱼活动中利用获取的凭证,从全美各地的受害者手中窃取了至少800万美元的加密货币。Buchanan目前定于10月2日被判刑。 2025年8月,来自佛罗里达州的20岁Scattered Spider成员**Noah Michael Urban**因电信欺诈和共谋指控[被判处10年联邦监禁](https://krebsonsecurity.com/2025/08/sim-swapper-scattered-spider-hacker-gets-10-years/),并被责令支付1300万美元的赔偿金。 美国司法部表示,与Buchanan一同被起诉的三名Scattered Spider被告仍面临指控,包括:24岁的**Ahmed Hossam Eldin Elbadawy**(化名“AD”,来自德克萨斯州学院站);21岁的**Evans Onyeaka Osiebo**(来自德克萨斯州达拉斯);以及26岁的**Joel Martin Evans**(化名“joeleoli”,来自北卡罗来纳州杰克逊维尔)。 Flowers和Jubair定于2026年7月15日在伦敦法院接受判刑。

相似文章

“分散蜘蛛”组织成员“Tylerb”认罪

Krebs on Security

网络犯罪组织“分散蜘蛛”的一名高级成员泰勒·罗伯特·布坎南(Tyler Robert Buchanan)因策划SMS钓鱼攻击,攻击多家大型科技公司并窃取数百万美元加密货币,对电信欺诈和身份盗窃指控表示认罪。