Nach Darstellung der NCA traf der Angriff Transport for London an mehreren Stellen. Alle 28.000 Beschäftigten von TfL mussten ihre Passwörter persönlich zurücksetzen. Zudem waren Rückerstattungsdienste für Kunden betroffen. Offen gelegt wurden auch Daten aus dem Rückerstattungssystem für Oyster, der im Londoner Nahverkehr genutzten Smart-Ticketing-Plattform. Ebenfalls gestört waren Anträge auf ermäßigte Oyster-Fotokarten für Kinder und Jugendliche.

Die Auswirkungen hielten nach Angaben der NCA noch mehrere Monate nach dem ursprünglichen Eindringen an. Insgesamt bezifferte die Behörde die Verluste und Kosten für die Wiederherstellung auf etwa 29 Millionen Pfund, umgerechnet rund 38 Millionen US-Dollar.

Owen Flowers wurde laut NCA kurz nach dem Angriff im September 2024 festgenommen. Bei der Durchsuchung seines Wohnorts beschlagnahmten Ermittler Laptops, Desktop-Computer, Festplatten und USB-Geräte. Auf einem Laptop fanden sie nach Angaben der Behörde einen Screenshot, der Verbindungen zu TfL-Infrastruktur zeigte, sowie Hinweise darauf, dass Flowers auf einen Online-Marktplatz für gestohlene Zugangsdaten zugegriffen hatte.

Die Ermittler stellten laut NCA außerdem Videos sicher, die Jubair beim Zugriff auf TfL-Systeme während des Eindringens zeigen sollen. Nach Darstellung der Behörde kommunizierte das Duo über Telegram und arbeitete während des Angriffs über einen gemeinsamen Online-Arbeitsbereich zusammen.

Die NCA ordnet beide Männer Scattered Spider zu. Die Gruppe wird als loses Netzwerk überwiegend englischsprachiger Cyberkrimineller beschrieben, das mit einer Serie prominenter Einbrüche bei großen US- und europäischen Unternehmen aus Branchen wie Luftfahrt, Versicherung und Einzelhandel verknüpft ist. US-Staatsanwälte hatten der Gruppe zuvor vorgeworfen, innerhalb von drei Jahren mindestens 115 Millionen US-Dollar von Opfern erpresst zu haben.

Nach Angaben der Behörden deuteten im Zuge der Ermittlungen gefundene Beweise außerdem darauf hin, dass auch die Netzwerke der US-Gesundheitsdienstleister SSM Health Care Corporation und Sutter Health infiltriert und beschädigt wurden. Weitere Details nannte die NCA dazu nicht. Beide Unternehmen hatten 2023 große Datenschutzverletzungen gemeldet.

Gegen die Angeklagten standen einige der schwersten Vorwürfe zur Verfügung, die das britische Cyberstrafrecht vorsieht. Dazu zählt die Verschwörung zur Begehung unbefugter Computerhandlungen, die das Risiko schwerer Schäden für das menschliche Wohl oder die nationale Sicherheit schaffen. Auf diese Delikte steht maximal lebenslange Freiheitsstrafe.

Flowers verstieß später in zwei Fällen gegen seine Kautionsauflagen. Jubair sah sich zusätzlich mit dem Vorwurf konfrontiert, Passwörter oder PINs für beschlagnahmte Geräte nicht offengelegt zu haben. Paul Foster, Leiter der National Cyber Crime Unit der NCA, erklärte in einer Stellungnahme: „Dies war eine langwierige, hochkomplexe und akribische Ermittlung.“