Membro Scattered Spider "Tylerb" si dichiara colpevole

Un cittadino britannico di 24 anni, membro di spicco del gruppo cybercriminale Scattered Spider, si è dichiarato colpevole per cospirazione di frode telematica e furto di identità aggravato. Tyler Robert Buchanan ha ammesso il suo ruolo in una serie di attacchi phishing tramite SMS nell’estate del 2022, che hanno permesso al gruppo di intrufolarsi in almeno una dozzina di grandi società tecnologiche e rubare decine di milioni di dollari in criptovalute a investitori.

Il suo alias da hacker, “Tylerb”, campeggiava su una classifica nel panorama criminale informatico in lingua inglese, che monitorava i cyberladri più incalliti. Ora in custodia statunitense e in attesa di condanna, il nativo di Dundee, Scozia, rischia più di 20 anni di prigione.

Due foto pubblicate da Daily Mail il 3 maggio 2025 mostrano Buchanan da bambino (a sinistra) e da adulto mentre viene trattenuto dalle autorità aeroportuali in Spagna. “M&S” nello screenshot si riferisce a Marks & Spencer, una catena britannica che ha subito un attacco ransomware lo scorso anno per mano di Scattered Spider. Scattered Spider è il nome dato a un profondo gruppo cybercriminale di lingua inglese, noto per usare tecniche di social engineering per introdursi nelle aziende e rubare dati a scopo di riscatto, spesso spacciandosi per dipendenti o appaltatori per ingannare i help desk.

Come parte della dichiarazione di colpevolezza, Buchanan ha ammesso di aver cospirato con altri membri di Scattered Spider per lanciare decine di migliaia di attacchi phishing via SMS nel 2022, che hanno portato a intrusioni in aziende del calibro di Twilio, LastPass, DoorDash e Mailchimp. Il gruppo ha poi usato i dati rubati in quelle violazioni per compiere attacchi di SIM-swapping, prosciugando fondi da singoli investitori in criptovalute. Nel SIM-swapping non autorizzato, i criminali trasferiscono il numero di telefono della vittima su un dispositivo che controllano e intercettano messaggi e chiamate — come codici monouso per autenticazione e link per reset password inviati via SMS.

Il Dipartimento di Giustizia statunitense ha dichiarato che Buchanan ha ammesso di aver rubato almeno 8 milioni di dollari in valuta virtuale da vittime individuali negli Stati Uniti. Gli investigatori dell’FBI hanno collegato Buchanan agli attacchi phishing del 2022 dopo aver scoperto che lo stesso nome utente e indirizzo email erano stati usati per registrare numerosi domini di phishing legati alla campagna. Il registrar NameCheap ha scoperto che meno di un mese prima della raffica di phishing, l’account che aveva registrato quei domini aveva effettuato l’accesso da un indirizzo IP nel Regno Unito. Gli investigatori FBI hanno detto che la polizia scozzese ha confermato che l’indirizzo era stato assegnato a Buchanan per tutto il 2022.

Come riportato per primo da KrebsOnSecurity, Buchanan è fuggito dal Regno Unito nel febbraio 2023, dopo che una gang rivale aveva assoldato teppisti per invadere la sua casa, aggredire sua madre e minacciare di bruciarlo con un cannello a gas se non avesse ceduto le chiavi del suo portafoglio di criptovalute. Nello stesso anno, gli investigatori britannici hanno trovato un dispositivo a casa di Buchanan in Scozia che conteneva dati rubati da vittime di phishing SMS e seed phrase di vittime di furto di criptovalute.

Buchanan è stato arrestato dalle autorità spagnole nel giugno 2024 mentre cercava di imbarcarsi per l’Italia. È stato estradato negli Stati Uniti ed è sotto custodia federale da aprile 2025.

Buchanan è il secondo membro noto di Scattered Spider a dichiararsi colpevole. Noah Michael Urban, 21 anni, di Palm Coast, Florida, è stato condannato a 10 anni di carcere federale lo scorso anno e ha ricevuto l’ordine di pagare 13 milioni di dollari di restituzione. Tre altri presunti co-cospiratori — Ahmed Hossam Eldin Elbadawy, 24 anni, alias “AD”, di College Station, Texas; Evans Onyeaka Osiebo, 21 anni, di Dallas, Texas; e Joel Martin Evans, 26 anni, alias “joeleoli”, di Jacksonville, North Carolina — devono ancora affrontare accuse penali.

Altri due presunti membri di Scattered Spider saranno presto processati nel Regno Unito. Owen Flowers, 18 anni, e Thalha Jubair, 20 anni, devono rispondere di accuse relative all’hacking e all’estorsione di diverse catene di vendita al dettaglio britanniche, del sistema di trasporto londinese e di fornitori sanitari negli Stati Uniti. Entrambi si sono dichiarati non colpevoli e il processo è previsto per giugno. Gli investigatori affermano che i sospettati di Scattered Spider fanno parte di una vasta comunità criminale informatica online nota come “The Com”, in cui hacker di diverse fazioni si vantano pubblicamente su Telegram e Discord di furti informatici di alto profilo che quasi invariabilmente iniziano con social engineering.

Uno dei canali Telegram più popolari per il SIM-swapping ha mantenuto a lungo una classifica dei rapinatori più spietati, basata sui loro presunti furti di criptovalute. Quella classifica elencava l’alias Tylerb di Buchanan al 65° posto (su 100 hacker), mentre l’alias “Sosa” di Urban era al 24°. L’udienza per la condanna di Buchanan è fissata per il 21 agosto 2026. Secondo il Dipartimento di Giustizia, rischia una pena massima di 22 anni di carcere federale. Tuttavia, la sentenza potrebbe essere ridotta in base a diversi fattori attenuanti previsti dalle linee guida federali, tra cui età, precedenti penali, tempo già trascorso in custodia e grado di cooperazione con le autorità.