🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os promotores dos EUA vincularam um suposto hacker do Scattered Spider a uma invasão em uma joalheria de luxo usando um ID de dispositivo Windows persistente, de acordo com uma reclamação federal recentemente divulgada.
Os registros da Microsoft vincularam esse ID primeiro à conta que os invasores usaram para manter o acesso durante a invasão de maio de 2025 e, em seguida, às contas online que os promotores dizem pertencer a Peter Stokes, de 19 anos.
Stokes é acusado de conspiração, invasão de computador e fraude. Com dupla cidadania, EUA-Estônia, conhecido online como “Bouquet”, ele foi extraditado da Finlândia e compareceu pela primeira vez ao tribunal em Chicago em 30 de junho, conforme informou o THN. Ele é considerado inocente enquanto aguarda julgamento.
Como funcionou a invasão
Entre 12 e 15 de maio de 2025, os invasores telefonaram para o suporte técnico de TI do varejista a partir de números do Google Voice, se passando por funcionários bloqueados e fizeram com que a equipe redefinisse as senhas dos funcionários e os dispositivos móveis vinculados à sua autenticação multifatorial.
Em poucas horas, eles controlavam três contas, duas delas pertencentes a administradores de TI. Eles instalaram o ngrok e uma segunda ferramenta de tunelamento chamada Teleport, transferiram dados para o armazenamento em nuvem da Amazon e retiraram pelo menos 77 gigabytes.
Parece que eles tentaram implantar ransomware, mas a equipe de segurança do varejista o bloqueou e os expulsou da rede. Os invasores ainda enviaram um e-mail de resgate, com o assunto “IMPORTANTE: ROUBAMOS OS DADOS, ENTRE EM CONTATO IMEDIATAMENTE [sic]”, e posteriormente pediram US$ 8 milhões em criptomoeda. A empresa não pagou. A violação ainda custou cerca de US$ 2 milhões em interrupção, investigação e limpeza.
A entrada foi o suporte técnico, não uma falha de software. A correção é um processo, não um patch: verifique a identidade antes de qualquer redefinição com um retorno de chamada para um número já registrado, aprovação do gerente ou verificações de vídeo para contas privilegiadas. MFA resistente a phishing, como chaves FIDO2, embota os outros métodos do grupo, mas não faz nada se um suporte técnico redefinir uma conta em uma chamada telefônica.
A identificação que levou os investigadores a Stokes
Os investigadores voltaram para Stokes a partir do dispositivo que abriu a conta ngrok. A Microsoft disse ao FBI que carregava o Global Device Identifier g:6755467234350028, que a Microsoft descreve como um identificador persistente vinculado a uma única instalação do Windows, que sobrevive às atualizações do sistema operacional, mas muda quando o Windows é reinstalado.
Os registros da Microsoft mostram que o dispositivo visitou a página de inscrição do ngrok às 19h21 UTC de 12 de maio de 2025, no mesmo minuto em que a conta do ngrok foi criada, e chegou ao site do varejista por meio do mesmo proxy cerca de três horas depois.
O dispositivo também continuou a aparecer nos mesmos endereços IP, ao mesmo tempo, como as contas do Snapchat, da Apple e do Facebook atribuem a Stokes: um endereço na sua cidade natal, Tallinn, na Estónia, em junho de 2024, depois em Nova Iorque, em novembro, e na Tailândia, em fevereiro de 2025, igualados pelos registos de viagens do Departamento de Estado.
A denúncia mostra um operador que escondeu o ataque, atrás de um proxy VPN, ferramentas de tunelamento e aliases, mas não ele mesmo. Os promotores dizem que seu Snapchat ostentava dinheiro, relógios e correntes de diamantes com os dizeres “HACK THE PLANET”, junto com as próprias viagens que o colocaram nessas cidades. Ele até postou fotos de uma delegacia de polícia da Estônia e disse que os federais não tinham ideia do que haviam deixado escapar.
Uma prisão e por que isso pode não retardar a ameaça
Os investigadores agora podem vincular um único operador à máquina que configurou um ataque. Mas uma prisão mal atinge a ameaça mais ampla.
Em uma pesquisa separada e recente, o Grupo-IB argumenta que o Scattered Spider não é realmente um grupo. É um coletivo solto de células pequenas e independentes, a maioria não maior que cinco pessoas, unidas por truques, ferramentas e salas de bate-papo compartilhadas, em vez de um chefe compartilhado. O Grupo-IB compara-o ao movimento Anonymous e diz que prender algumas destas células “não irá parar a ameaça em si”.
Os promotores descrevem o Scattered Spider como um grupo por trás de mais de 100 invasões e mais de US$ 100 milhões em resgates. O Grupo-IB diz que o rótulo se adapta melhor a uma cena do que a uma gangue e argumenta que a estrutura frouxa é a razão pela qual a atividade sobrevive a cada prisão.
Parte de uma série de casos mais longos
Outros processos recentes do Scattered Spider seguem o mesmo formato: indivíduos presos um de cada vez, com o manual compartilhado intacto. Em abril de 2026, o cidadão escocês Tyler Buchanan se declarou culpado nos EUA de fraude e roubo de identidade vinculados ao grupo.
Em 2025, Noah Urban, conhecido como “Sosa”, foi condenado a 10 anos por um esquema de troca de SIM ligado ao Scattered Spider. E no Reino Unido, dois supostos membros admitiram recentemente o hack do Transport for London, que custou cerca de £ 29 milhões.
Quando a polícia finlandesa parou Stokes no aeroporto de Helsínquia quando ele tentava embarcar num voo para o Japão, apreendeu dois discos rígidos de 2 terabytes. Todo esse caso foi construído a partir desse tipo de material: registros de dispositivos, links de contas e dados de IP.
Os registros da Microsoft vincularam esse ID primeiro à conta que os invasores usaram para manter o acesso durante a invasão de maio de 2025 e, em seguida, às contas online que os promotores dizem pertencer a Peter Stokes, de 19 anos.
Stokes é acusado de conspiração, invasão de computador e fraude. Com dupla cidadania, EUA-Estônia, conhecido online como “Bouquet”, ele foi extraditado da Finlândia e compareceu pela primeira vez ao tribunal em Chicago em 30 de junho, conforme informou o THN. Ele é considerado inocente enquanto aguarda julgamento.
Como funcionou a invasão
Entre 12 e 15 de maio de 2025, os invasores telefonaram para o suporte técnico de TI do varejista a partir de números do Google Voice, se passando por funcionários bloqueados e fizeram com que a equipe redefinisse as senhas dos funcionários e os dispositivos móveis vinculados à sua autenticação multifatorial.
Em poucas horas, eles controlavam três contas, duas delas pertencentes a administradores de TI. Eles instalaram o ngrok e uma segunda ferramenta de tunelamento chamada Teleport, transferiram dados para o armazenamento em nuvem da Amazon e retiraram pelo menos 77 gigabytes.
Parece que eles tentaram implantar ransomware, mas a equipe de segurança do varejista o bloqueou e os expulsou da rede. Os invasores ainda enviaram um e-mail de resgate, com o assunto “IMPORTANTE: ROUBAMOS OS DADOS, ENTRE EM CONTATO IMEDIATAMENTE [sic]”, e posteriormente pediram US$ 8 milhões em criptomoeda. A empresa não pagou. A violação ainda custou cerca de US$ 2 milhões em interrupção, investigação e limpeza.
A entrada foi o suporte técnico, não uma falha de software. A correção é um processo, não um patch: verifique a identidade antes de qualquer redefinição com um retorno de chamada para um número já registrado, aprovação do gerente ou verificações de vídeo para contas privilegiadas. MFA resistente a phishing, como chaves FIDO2, embota os outros métodos do grupo, mas não faz nada se um suporte técnico redefinir uma conta em uma chamada telefônica.
A identificação que levou os investigadores a Stokes
Os investigadores voltaram para Stokes a partir do dispositivo que abriu a conta ngrok. A Microsoft disse ao FBI que carregava o Global Device Identifier g:6755467234350028, que a Microsoft descreve como um identificador persistente vinculado a uma única instalação do Windows, que sobrevive às atualizações do sistema operacional, mas muda quando o Windows é reinstalado.
Os registros da Microsoft mostram que o dispositivo visitou a página de inscrição do ngrok às 19h21 UTC de 12 de maio de 2025, no mesmo minuto em que a conta do ngrok foi criada, e chegou ao site do varejista por meio do mesmo proxy cerca de três horas depois.
O dispositivo também continuou a aparecer nos mesmos endereços IP, ao mesmo tempo, como as contas do Snapchat, da Apple e do Facebook atribuem a Stokes: um endereço na sua cidade natal, Tallinn, na Estónia, em junho de 2024, depois em Nova Iorque, em novembro, e na Tailândia, em fevereiro de 2025, igualados pelos registos de viagens do Departamento de Estado.
A denúncia mostra um operador que escondeu o ataque, atrás de um proxy VPN, ferramentas de tunelamento e aliases, mas não ele mesmo. Os promotores dizem que seu Snapchat ostentava dinheiro, relógios e correntes de diamantes com os dizeres “HACK THE PLANET”, junto com as próprias viagens que o colocaram nessas cidades. Ele até postou fotos de uma delegacia de polícia da Estônia e disse que os federais não tinham ideia do que haviam deixado escapar.
Uma prisão e por que isso pode não retardar a ameaça
Os investigadores agora podem vincular um único operador à máquina que configurou um ataque. Mas uma prisão mal atinge a ameaça mais ampla.
Em uma pesquisa separada e recente, o Grupo-IB argumenta que o Scattered Spider não é realmente um grupo. É um coletivo solto de células pequenas e independentes, a maioria não maior que cinco pessoas, unidas por truques, ferramentas e salas de bate-papo compartilhadas, em vez de um chefe compartilhado. O Grupo-IB compara-o ao movimento Anonymous e diz que prender algumas destas células “não irá parar a ameaça em si”.
Os promotores descrevem o Scattered Spider como um grupo por trás de mais de 100 invasões e mais de US$ 100 milhões em resgates. O Grupo-IB diz que o rótulo se adapta melhor a uma cena do que a uma gangue e argumenta que a estrutura frouxa é a razão pela qual a atividade sobrevive a cada prisão.
Parte de uma série de casos mais longos
Outros processos recentes do Scattered Spider seguem o mesmo formato: indivíduos presos um de cada vez, com o manual compartilhado intacto. Em abril de 2026, o cidadão escocês Tyler Buchanan se declarou culpado nos EUA de fraude e roubo de identidade vinculados ao grupo.
Em 2025, Noah Urban, conhecido como “Sosa”, foi condenado a 10 anos por um esquema de troca de SIM ligado ao Scattered Spider. E no Reino Unido, dois supostos membros admitiram recentemente o hack do Transport for London, que custou cerca de £ 29 milhões.
Quando a polícia finlandesa parou Stokes no aeroporto de Helsínquia quando ele tentava embarcar num voo para o Japão, apreendeu dois discos rígidos de 2 terabytes. Todo esse caso foi construído a partir desse tipo de material: registros de dispositivos, links de contas e dados de IP.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #processo #judicial #revela #identificação #de #dispositivo #do #windows #que #ajudou #o #fbi #a #rastrear #suposto #hacker #aranha #espalhado
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário