Flowers und Jubair legten ihr Schuldgeständnis am 22. Juni 2026 ab, dem Tag, an dem ihr Prozess beginnen sollte. Der CPS zufolge sind sie vermutlich die ersten Hacker, die unter Abschnitt 3ZA erfolgreich verurteilt wurden. Die NCA spricht von erst der zweiten Strafverfolgung dieser Art. Beide Behörden betonen zudem die Bedeutung des Falls: Die NCA nennt ihn die bislang größte Cybercrime-Strafverfolgung vor britischen Gerichten.

Der Eindringversuch gegen TfL lief nach Angaben der NCA vom 31. August bis 3. September 2024. TfL ist für durchschnittlich 9 Millionen Fahrten pro Tag zuständig. Während des Vorfalls fielen unter anderem Dial-a-Ride, der Buchungsdienst für besonders schutzbedürftige Londoner, der digitale Zahlungskanal und die Ausgabe ermäßigter Fahrkarten aus. Anträge für Oyster-Photocards für Kinder und Jugendliche wurden gestoppt, die Ausweitung kontaktloser Ticketing-Funktionen verzögerte sich, und Erstattungen liefen nur schleppend.

TfL informierte Kunden damals darüber, dass auf Namen und E-Mail-Adressen zugegriffen worden sei, ebenso auf Wohnanschriften, soweit diese vorlagen. Möglicherweise seien auch Rückerstattungsdaten aus dem Oyster-System abgeflossen, darunter Bankkontonummern und Bankleitzahlen von rund 5.000 Personen.

Nach Darstellung des CPS wussten nur die beiden Angeklagten selbst, was sie mit dem Zugang letztlich vorhatten. Chats deuteten demnach darauf hin, dass sie ihre Zugänge beim Verlassen der Systeme löschen wollten. Hier setzt auch eine der größten Zahlen des Falls an: Die NCA erklärt, ein erfolgreiches Abschalten des Netzwerks hätte die britische Wirtschaft bis zu 56 Milliarden Pfund kosten können; der CPS spricht ebenfalls von einem hypothetischen Schaden in Milliardenhöhe. Hypothetisch blieb das laut CPS, weil TfL das eigene Netzwerk selbst herunterfuhr, um den Vorfall einzudämmen.

Flowers wurde am 6. September 2024 zu Hause festgenommen, drei Tage nach Ende des TfL-Angriffs. Nach Angaben der NCA trafen Ermittler ihn dabei an, wie er gerade zwei US-Gesundheitsorganisationen angriff: SSM Health Care Corporation und Sutter Health. Sichergestellt wurden Laptops, Desktop-Rechner, Festplatten und USB-Sticks. Auf einem Laptop fanden Ermittler laut NCA einen Screenshot zur Netzwerkkonnektivität in die TfL-Infrastruktur sowie Videos, die Flowers aufgezeichnet hatte und die Jubair während des Angriffs in TfL-Systemen zeigen sollen. Währenddessen kommunizierten die beiden über Telegram und teilten sich einen Online-Arbeitsbereich.

Die Anklage konnte nach Angaben der Staatsanwaltschaft nachweisen, dass Flowers mit dem Remote-Server verbunden war, über den alle drei Eindringversuche gestartet wurden. Seine eigenen Geräte brachten ihn laut Anklage mit allen drei Fällen in Verbindung. Die Informationen, die Jubair mit TfL verknüpften, wurden demnach im Ausland entdeckt und mit Hilfe dortiger Staatsanwälte beschafft.

Flowers gestand zusätzlich zwei weitere Anklagepunkte im Zusammenhang mit den Angriffen auf das Gesundheitswesen: eine Verschwörung gegen SSM Health und einen Versuch gegen Sutter Health. Der CPS erklärt, Flowers habe gedroht, diese Systeme zu sperren, und in Chats zugleich eingeräumt, das könne „einen 90-Jährigen an lebenserhaltenden Geräten töten“. Gestoppt worden sei das durch seine Festnahme.

Die NCA bezeichnet beide Männer als führende Mitglieder von Scattered Spider, der Erpressergruppe, die auch als Octo Tempest, UNC3944 und 0ktapus verfolgt wird. Der CPS formuliert vorsichtiger: Die Angeklagten hätten an verschiedenen Stellen behauptet, Mitglieder einer Gruppe zu sein, von der die Staatsanwaltschaft annimmt, dass sie zwischen 2022 und 2025 Hunderte Angriffe verübt habe. Das FBI, das in der Mitteilung der NCA zitiert wird, bringt die Gruppe mit Datenerpressung, SIM-Swapping und Social Engineering in Verbindung.

Die NCA erklärt, ihr Vorgehen gegen die beiden habe die Gruppe faktisch gestoppt, und verweist auf Microsofts Einschätzung, wonach die Festnahmen die Einsatzfähigkeit der Gruppe deutlich beeinträchtigt hätten. Zugleich räumt die Behörde ein, dass andere Kriminelle die Marke weiter nutzen könnten.

Paul Foster, Leiter der National Cyber Crime Unit der NCA, erklärte, diese Verurteilungen wären wahrscheinlich nicht zustande gekommen, wenn TfL die Strafverfolgungsbehörden nicht früh eingeschaltet hätte. Die City of London Police nutzte die Urteilsverkündung zudem, um für sogenannte Cyber Crime Risk Orders zu werben. Diese Anordnungen würden Gerichten ermöglichen, Geräte, Onlinedienste und Technologien einer Person entsprechend dem von ihr ausgehenden Risiko einzuschränken. Commander Ollie Shaw bezeichnete das als ein „digitales Gefängnis“ für Straftäter.