Тийнейджър, обвинен в принадлежност към хакерската група Scattered Spider, е екстрадиран от Финландия, за да се изправи пред съда в САЩ по обвинения в заговор, компютърно проникване и измама, съобщи Министерството на правосъдието на САЩ на 1 юли.

19-годишният Питър Стоукс, гражданин на САЩ и Естония, се яви във федералния съд в Чикаго на 30 юни, където съдията разпореди той да бъде оставен под стража.

Финландската полиция го арестува през април по Червен бюлетин на Интерпол – международно искане за арест, преди екстрадирането му в края на юни. Неговият случай е поредният от поредицата арести, насочени срещу група, свързана с пробиви в казина, търговци на дребно и авиокомпании.

Съдебните регистри идентифицират Стоукс с онлайн псевдонима "Bouquet" и описват поне четири прониквания, първото от които е извършено, когато е бил на 16 години. В един от случаите, през май 2025 г., прокурорите твърдят, че той и съучастниците му са нахлули в магазин за луксозни бижута, копирали са данните му и са поискали около 8 милиона долара в криптовалута.

Търговецът е отказал да плати, отстранил е нападателите и е похарчил най-малко 2 милиона долара за възстановяване на системите. Според регистрите финландските полицаи са иззели два хард диска от по 2 терабайта, когато са спрели Стоукс на летището в Хелзинки при опит да се качи на полет за Япония.

Scattered Spider не е традиционна банда. Това е неформална, говореща предимно английски език група от млади хора, много от които тийнейджъри, разпръснати из САЩ, Обединеното кралство и Европа. Компанията за сигурност я проследяват и под имената Octo Tempest, UNC3944 и 0ktapus. Тяхната основна техника е проста и трудна за спиране – вместо да пробиват софтуер, те мамят хората.

Членовете се обаждат в ИТ отдела за поддръжка на дадена компания, представят се за служител, чийто достъп е блокиран, и убеждават персонала да нулира паролата му или да одобри влизането му. Веднъж влезли в системата, те крадат файлове и заплашват да ги разпространят, освен ако не им бъде платен откуп.

Групата е най-известна с атаките си през 2023 г. срещу MGM Resorts и Caesars Entertainment, които спряха системите на казината и хотелите на MGM. До 2025 г. тя беше свързана с атаки срещу търговци на дребно в Обединеното кралство, включително Marks & Spencer, Harrods и Co-op, след това срещу застрахователи в САЩ и по-късно авиокомпании – модел, който изследователите по сигурността описват като преминаване през секторите един по един.

Помощник-главният прокурор А. Тайсън Дува заяви, че групата е участвала в "над 100 мрежови прониквания, довели до повече от 100 милиона долара плащания за откуп".

Стоукс е част от по-широка промяна в историята на Scattered Spider: полицията започва да разкрива истинските имена, държави и съдебни дати на група, която дълго време действаше само с псевдоними в чат стаи. Последните случаи включват:

  • Тайлър Бюканън, 24-годишен от Шотландия, описван някога като лидер, се призна за виновен в съд в САЩ през април 2026 г. за измама и кражба на самоличност. Той призна, че е откраднал най-малко 8 милиона долара в криптовалута чрез фишинг кампании, засегнали компании като Twilio и LastPass, и е изправен пред максимална присъда от 22 години затвор.
  • Ноа Ърбан, член от Флорида, беше осъден през август 2025 г. на 10 години затвор и му беше разпоредено да върне около 13 милиона долара.
  • Талха Джубаир и Оуен Флауърс, двама младежи от Обединеното кралство, се признаха за виновни през юни 2026 г. за атаката през 2024 г. срещу Transport for London (транспортната агенция на столицата). Флауърс също така призна, че е участвал в заговор за хакване на две здравни системи в САЩ – SSM Health и Sutter Health.

Тактиката им обаче продължава да живее и след арестите. Mandiant докладва за затишие в атаките на групата след арестите през 2025 г., но след това предупреди, че други хакери вече копират техния модел.

Слабото място е отделът за поддръжка (help desk), а не защитната стена (firewall). Поради това ефективните мерки включват по-строги проверки на самоличността преди възстановяване на парола и хардуерни ключове за сигурност, които не могат да бъдат откраднати с фишинг.

Съвместно предупреждение от САЩ и международни партньори добавя, че след като проникнат, нападателите често се крият в чат инструментите на компанията и се присъединяват към разговорите, провеждани за реакция на пробива, за да наблюдават кой ги разследва.

За разследващите иззетите дискове в Хелзинки може да се окажат толкова важни, колкото и самите обвинения: устройствата, взети от един член, често водят до разкриването на останалите.