19-летний хакер из группировки Scattered Spider задержан в Хельсинки - его вычислили по цифровому следу Windows
Питер Стокс думал, что успеет улететь в Японию. Не успел. В хельсинкском аэропорту его уже ждали - совместная операция Министерства юстиции США, ФБР и финского Национального бюро расследований поставила точку в охоте за одним из участников Scattered Spider. Подростку 19 лет. Двойное гражданство - США и Эстония. Обвинения - сговор, несанкционированный доступ к компьютерным системам, мошенничество.
Атака на ювелирный магазин и 8 миллионов в крипте
Центральный эпизод дела - взлом американского luxury-ритейлера ювелирных украшений в мае 2025 года. Схема, которую Scattered Spider отточила до блеска: звонок на горячую линию техподдержки через Google Voice, мастерское вживание в образ сотрудника, и вот операторы уже сбрасывают учётные данные чужаку. Группа получила доступ к трём корпоративным аккаунтам - два из них с правами администратора. Дальше - стандартный финал: слив конфиденциальных данных и требование выкупа в 8 миллионов долларов криптовалютой.
Компания платить отказалась. Восстановила доступ к инфраструктуре своими силами. Но операционные потери уже составили около 2 миллионов долларов - простои, откат систем, кризисное реагирование. Цена отказа платить оказалась немалой, хотя и несопоставимой с тем, чего хотели вымогатели.
Как Windows сдала своего пользователя
Ключевую роль в поимке сыграла Microsoft. Компания передала ФБР данные GDID - Global Device Identifier, уникального идентификатора, который Windows присваивает каждой установке системы и фиксирует телеметрию конкретного устройства. Это не просто серийный номер. GDID отслеживает активность в сети, используемые приложения, IP-адреса, геолокацию сессий. Когда следователи запросили информацию, картина сложилась практически мгновенно.
Судебные материалы показывают: в профиле Стокса зафиксированы история веб-сёрфинга, игровая активность, статус в Azure, использование инструмента Ngrok - популярного среди хакеров туннелировщика трафика - и временны́е метки всего этого с точностью до секунды. Цифровой след был настолько полным, что прокурорам оставалось лишь соединить точки.
Scattered Spider: кто они и почему их так долго не могли поймать
Группировка действует под несколькими именами - Octo Tempest, UNC3944, Oktapus. По данным Министерства юстиции, суммарно банда вымогала более 100 миллионов долларов выкупа. Их конёк - не технические уязвимости нулевого дня, а социальная инженерия. Звонки, актёрское мастерство, психологическое давление на живых людей. Служба поддержки оказывается слабым звеном куда чаще, чем хочется признавать корпоративным безопасникам.
Стокса ждёт суд. Пока он находится под стражей. Это уже не первый арест участника группировки - американские прокуроры последовательно разматывают клубок с 2023 года, когда атаки на MGM Resorts и Caesars Entertainment вывели Scattered Spider в заголовки мировой прессы. Тогда только MGM потеряла около 100 миллионов долларов из-за недельного паралича систем. Охота продолжается.
Что изменится после этого дела
Арест Стокса - сигнал сразу по нескольким направлениям. Во-первых, международная координация в киберрасследованиях работает: ФБР, финская полиция и корпоративный гигант действовали синхронно. Во-вторых, данные телеметрии Windows теперь де-факто являются инструментом уголовного преследования - и это поднимает неудобные вопросы о границах между корпоративным мониторингом и слежкой. В-третьих, социальная инженерия остаётся главной дырой в корпоративной безопасности - и никакой файрвол её не закроет.
- Обвиняемому грозит до 20 лет по совокупности статей
- Группировка предположительно насчитывает десятки участников по всему миру
- Ngrok, использованный в атаке, - легальный инструмент, регулярно применяемый в атаках на корпоративные сети
- Компания-жертва так и не была публично названа в судебных материалах