Die britischen Behörden werten das Verfahren als außergewöhnlich: Nach ihren Angaben war es erst die zweite Anklage überhaupt nach dem schwerwiegendsten Tatbestand des Computer Misuse Act. Dieser erfasst unbefugte Computeraktivitäten, die schwere Schäden an kritischer Infrastruktur oder am Gemeinwohl verursachen oder verursachen könnten, und sieht im Höchstmaß lebenslange Haft vor.
Jubair und Flowers bekannten sich am ersten Prozesstag im Juni schuldig, in TfLs Systeme eingedrungen zu sein. Der Angriff blieb zwar unterhalb eines vollständigen Ausfalls des Londoner Verkehrsnetzes, verursachte aber laut Ermittlern weitreichende Betriebsstörungen. Alle 27.000 TfL-Beschäftigten mussten persönlich in Büros erscheinen, um ihre Passwörter zurückzusetzen. Zudem fielen 148 interne Systeme aus, darunter kritische Betriebsplattformen, die nur mit aufwendigen manuellen Ersatzverfahren weiterbetrieben werden konnten.
Betroffen war auch das Erstattungssystem für Oyster, die Fahrkarte des Verkehrsverbunds. Nach Angaben der Behörden wurden dort gespeicherte Daten kompromittiert. Für manche Fahrgäste verzögerten sich dadurch Erstattungen deutlich. Anträge auf Oyster-Photocards für Kinder und Jugendliche wurden vorübergehend ausgesetzt.
Die National Crime Agency (NCA) erklärte, die finanziellen Folgen hätten noch deutlich gravierender ausfallen können. Wäre es den Angreifern gelungen, Londons Verkehrsnetz außer Betrieb zu setzen, hätte die wirtschaftliche Auswirkung nach Schätzung der Behörde bis zu 56 Milliarden Pfund betragen können.
Britische Ermittler identifizierten Jubair und Flowers als führende Mitglieder von Scattered Spider, einem locker organisierten, englischsprachigen Cybercrime-Netzwerk. Die Gruppe wird für zahlreiche aufsehenerregende Einbrüche bei Organisationen im Vereinigten Königreich und in den USA verantwortlich gemacht. Laut dem Quelltext setzte sie häufig auf Social Engineering, SIM-Swapping und den Diebstahl von Zugangsdaten, bevor Ransomware eingesetzt oder Erpressungskampagnen durchgeführt wurden.
Nach Angaben der NCA wurden die Aktivitäten der Gruppe durch Festnahmen im September 2024 erheblich gestört. Paul Foster, stellvertretender Direktor der National Cyber Crime Unit der NCA, sagte, Scattered Spider sei in den vergangenen Jahren die bedeutendste Bedrohung durch Cyberkriminalität für das Vereinigte Königreich gewesen. Durch die Ermittlungen sei diese Bedrohung schwer getroffen und zentrale Täter seien zur Rechenschaft gezogen worden. Die Behörde ergänzte, eine unabhängige Analyse stütze diese Einschätzung; Microsoft sei zu dem Schluss gekommen, dass die Festnahmen Scattered Spiders Fähigkeit zu weiteren cyberkriminellen Operationen deutlich geschwächt hätten.
Flowers wurde erstmals im September 2024 festgenommen. Ermittler erklärten, dass er zu diesem Zeitpunkt gleichzeitig Systeme der US-Gesundheitsdienstleister SSM Health Care Corporation und Sutter Health kompromittierte. Bei Durchsuchungen seines Hauses wurden Laptops, Desktop-Computer, externe Festplatten und USB-Geräte sichergestellt. Auf einem Laptop fanden Ermittler einen Screenshot, der eine Verbindung zu TfLs Infrastruktur zeigte. Außerdem wurden Videos sichergestellt, die Flowers laut Behörden aufgezeichnet hatte und die Jubair beim aktiven Zugriff auf TfL-Systeme während des Eindringens zeigen sollen.
Die Behörden erklärten weiter, dass das Duo den Angriff über Telegram und einen Online-Arbeitsbereich koordiniert habe. Flowers wurde später erneut festgenommen, nachdem er Auflagen seiner Kaution zu Gerätebeschränkungen verletzt hatte. Gegen Jubair kam ein weiterer Vorwurf hinzu, weil er sich weigerte, Passwörter und PINs für beschlagnahmte elektronische Geräte herauszugeben.
Die Ermittlungen führten die National Crime Agency und die City of London Police gemeinsam, unterstützt von der West Midlands Regional Organised Crime Unit, der British Transport Police sowie internationalen Partnern einschließlich des FBI. Commander Ollie Shaw von der City of London Police nutzte das Urteil, um für vorgeschlagene Cyber Crime Risk Orders zu werben. Diese sollen Gerichten ermöglichen, verurteilten Cyberstraftätern nach ihrer Freilassung Beschränkungen bei Geräten, Onlinediensten oder Technologien aufzuerlegen.
Jubair und Flowers waren zudem bereits im vergangenen Juli unter dem Verdacht festgenommen worden, an einer Serie von Ransomware-Angriffen auf die britischen Händler Marks & Spencer, Co-op und Harrods beteiligt gewesen zu sein. Angeklagt wurde in diesen Fällen bislang niemand.
