Scattered Spider: как группа подростков ограбила сотни компаний и попала под суд

1 июля Министерство юстиции США объявило об экстрадиции Питера Стокса — 19-летнего гражданина США и Эстонии, действовавшего под псевдонимом «Bouquet». Финская полиция задержала его ещё в апреле по красному уведомлению Интерпола прямо в хельсинкском аэропорту, когда он пытался сесть на рейс до Токио. При досмотре изъяли два жёстких диска по 2 терабайта каждый. В конце июня Стокса экстрадировали в США, 30 июня он предстал перед федеральным судом Чикаго, и судья постановил взять его под стражу. Ему предъявлены обвинения в сговоре, компьютерном взломе и мошенничестве.
Согласно материалам дела, Стокс участвовал минимум в четырёх взломах, причём первый совершил в 16 лет. В мае 2025 года он вместе с сообщниками проник в сети крупного ювелирного ритейлера класса люкс, скопировал данные и потребовал около 8 миллионов долларов в криптовалюте. Ритейлер отказался платить, выдворил взломщиков из своих систем и в итоге потратил не менее 2 миллионов долларов на устранение последствий.
Scattered Spider — это не структурированная банда с иерархией и уставом. Рыхлая сеть молодых, преимущественно англоязычных людей, многие из которых ещё подростки, разбросанных по США, Великобритании и Европе. Разные компании по кибербезопасности отслеживают эту группу под разными именами: Octo Tempest, UNC3944, 0ktapus. Главный инструмент — не какой-то хитрый код, а обычный телефонный звонок.
Схема такая: участник группы звонит в IT-службу компании, представляется сотрудником, который якобы потерял доступ к учётной записи, и убеждает оператора сбросить пароль или одобрить вход. Дальше идут внутрь, копируют файлы и требуют деньги под угрозой их публикации. Помощник генерального прокурора США Тайсен Дюва заявил, что группа причастна к более чем 100 взломам корпоративных сетей и получила свыше 100 миллионов долларов в виде выкупов.
Список жертв внушительный. В 2023 году группа атаковала MGM Resorts и Caesars Entertainment — у MGM рухнули системы бронирования, платёжные терминалы и часть гостиничной инфраструктуры. Затем, вплоть до 2025 года, под удар попали британские ритейлеры: Marks & Spencer, Harrods и Co-op. Позже мишенями стали американские страховые компании и авиаперевозчики. Исследователи в области безопасности фиксируют характерную тактику: группа методично движется по одному сектору экономики, прежде чем переключиться на следующий.
Стокс далеко не единственный, кто оказался под судом. В апреле 2026 года шотландец Тайлер Бьюкенен, 24 года, признал вину в мошенничестве и краже персональных данных — ему грозит до 22 лет тюрьмы. Среди его жертв были Twilio и LastPass, а украденная криптовалюта оценивается минимум в 8 миллионов долларов. В августе 2025-го житель Флориды Ноа Урбан получил 10 лет лишения свободы и обязан вернуть около 13 миллионов долларов. Двое британцев — Тальха Джубаир и Оуэн Флауэрс — в июне 2026 года признали вину в атаке на Transport for London в 2024 году; Флауэрс вдобавок сознался в заговоре с целью взлома двух американских медицинских систем — SSM Health и Sutter Health.
Один из самых неочевидных выводов из этих дел касается архитектуры уязвимости. Взломщикам не нужно преодолевать технические барьеры. Слабое место — не брандмауэр, а человек на другом конце телефона в службе поддержки. Попав внутрь корпоративной сети, злоумышленники не спешат. Они оседают в корпоративных мессенджерах, вступают в звонки, которые компания проводит уже в ходе расследования инцидента, и наблюдают за тем, кто и как их ищет.
Специалисты называют два практических способа снизить риск: жёсткая проверка личности перед любым сбросом пароля и переход на ключи входа, которые невозможно похитить через фишинг. Компания Mandiant зафиксировала заметный спад активности группы после арестов 2025 года, однако предупредила: другие хакерские группировки уже копируют эту тактику. Изъятые в Хельсинки жёсткие диски следователи, по всей видимости, сейчас разбирают в поисках улик, ведущих к другим участникам сети.
Питер Стокс считается невиновным до вынесения приговора, дело ещё должно пройти через суд. Но сама история этих арестов показывает кое-что важное: быть молодым, жить в разных странах и мастерски притворяться по телефону больше не страхует от уголовного преследования. Правоохранители научились переводить псевдонимы в имена, страны и даты судебных заседаний.


Новое на сайте

Ссылка