Membro di 'Scattered Spider' si dichiara colpevole per frode informatica e furto d'identità

Un cittadino britannico di 24 anni, Tyler Robert Buchanan, membro di alto livello del gruppo cybercriminale Scattered Spider, si è dichiarato colpevole di cospirazione per frode telematica e furto aggravato d'identità.

Buchanan, noto nel circuito criminale con lo pseudonimo Tylerb, ha ammesso il proprio ruolo in una serie di attacchi di phishing tramite SMS avvenuti nell'estate del 2022. Questi attacchi hanno permesso al gruppo di infiltrarsi in almeno una dozzina di importanti aziende tecnologiche, sottraendo decine di milioni di dollari in criptovalute agli investitori.

Attualmente detenuto negli Stati Uniti in attesa di sentenza, Buchanan rischia oltre 20 anni di carcere. Le foto pubblicate dal Daily Mail il 3 maggio 2025 mostrano Buchanan sia da bambino che da adulto, mentre viene fermato dalle autorità aeroportuali in Spagna. Il riferimento a M&S nel servizio si riferisce a Marks & Spencer, catena britannica vittima di un attacco ransomware lo scorso anno, attribuito a Scattered Spider.

Chi è Scattered Spider e come opera

Scattered Spider è un gruppo cybercriminale anglofono noto per l'uso di tattiche di ingegneria sociale per infiltrarsi nelle aziende e sottrarre dati a scopo di riscatto. I membri del gruppo spesso si fingono dipendenti o collaboratori per convincere i reparti IT a concedere accessi non autorizzati.

Nel suo patteggiamento, Buchanan ha ammesso di aver cospirato con altri membri di Scattered Spider per lanciare decine di migliaia di attacchi di phishing via SMS nel 2022. Questi attacchi hanno portato a violazioni in aziende come Twilio, LastPass, DoorDash e Mailchimp. I dati rubati in queste intrusioni sono stati poi utilizzati per attacchi di SIM-swapping, con cui i criminali hanno sottratto fondi a investitori di criptovalute.

Come funzionano gli attacchi di SIM-swapping

Nel SIM-swapping, i criminali trasferiscono il numero di telefono della vittima a un dispositivo da loro controllato. In questo modo, intercettano messaggi di testo o chiamate, inclusi i codici di autenticazione a una sola via e i link per il reset delle password inviati via SMS. Secondo il Dipartimento di Giustizia statunitense, Buchanan ha ammesso di aver sottratto almeno 8 milioni di dollari in valuta virtuale a vittime negli Stati Uniti.

Le indagini e l'arresto

Gli investigatori dell'FBI hanno collegato Buchanan agli attacchi di phishing del 2022 dopo aver scoperto che lo stesso nome utente e indirizzo email erano stati utilizzati per registrare numerosi domini di phishing. Il registrar NameCheap ha confermato che, meno di un mese prima della campagna di phishing, l'account che ha registrato questi domini si è collegato da un indirizzo IP nel Regno Unito. Gli investigatori dell'FBI hanno dichiarato che la polizia scozzese ha confermato che l'indirizzo era stato affittato a Buchanan per tutto il 2022.

Come riportato per la prima volta da KrebsOnSecurity, Buchanan è fuggito dal Regno Unito nel febbraio 2023 dopo che una gang rivale di cybercriminali ha fatto irruzione nella sua abitazione, aggredito sua madre e minacciato di bruciarlo con un lanciafiamme se non avesse consegnato le chiavi del suo portafoglio di criptovalute. Nello stesso anno, gli investigatori britannici hanno trovato un dispositivo nella sua residenza in Scozia contenente dati rubati alle vittime di phishing via SMS e seed phrase relative ai furti di criptovalute.

Buchanan è stato arrestato dalle autorità spagnole nel giugno 2024 mentre cercava di imbarcarsi su un volo per l'Italia. Successivamente, è stato estradato negli Stati Uniti per affrontare le accuse.