Федеральный обвинительный акт, который недавно рассекретили американские власти, показывает довольно любопытную деталь: обычный технический идентификатор Windows стал ключевой уликой против предполагаемого участника хакерской группировки Scattered Spider. Речь о 19-летнем Питере Стоксе — гражданине США и Эстонии одновременно, известном в сети под ником "Bouquet". Его задержали финские полицейские в аэропорту Хельсинки, когда он собирался лететь в Японию. При обыске изъяли два жестких диска по 2 терабайта каждый. После экстрадиции из Финляндии Стокс впервые предстал перед судом в Чикаго 30 июня. Обвинения серьезные — заговор, компьютерное вторжение, мошенничество. Формально он пока считается невиновным, дело до суда не дошло.

История взлома, к которому его причастность и пытаются доказать прокуроры, началась в мае 2025 года и заняла всего несколько дней — с 12 по 15 число. Целью стал люксовый ювелирный ритейлер. Атакующие даже не пытались ломать защиту техническими средствами. Вместо этого позвонили в службу поддержки компании, используя номера Google Voice, и представились сотрудниками, забывшими пароль. Простая социальная инженерия сработала — персонал сбросил пароли и устройства многофакторной аутентификации для нескольких учетных записей.
Дальше события развивались стремительно. Буквально за несколько часов злоумышленники получили контроль над тремя аккаунтами, два из которых принадлежали IT-администраторам компании. Установили туннелирующие утилиты ngrok и Teleport, перенаправили данные в облачное хранилище Amazon и вытащили как минимум 77 гигабайт корпоративной информации.
Затем последовала попытка развернуть шифровальщик и требовать выкуп. Служба безопасности ритейлера заметила подозрительную активность и выкинула злоумышленников из сети раньше, чем те успели зашифровать данные. Тем не менее вымогатели отправили письмо с темой "IMPORTANT: WE STOLE THE DATA, CONTACT UMMEDIATELY" — с опечаткой в слове "immediately", которую никто исправлять не стал. Требовали 8 миллионов долларов в криптовалюте. Компания платить отказалась. По итогу инцидент обошелся ей примерно в 2 миллиона долларов — расследование, устранение последствий, простои в работе.
Специалисты по кибербезопасности, разбиравшие этот случай, отмечают: уязвимость была не техническая, а процессная. Проблема не в софте, а в том, что служба поддержки поверила звонившему на слово. Рекомендации стандартные — перезванивать на номер из базы данных для подтверждения личности, требовать подпись руководителя при сбросе доступа привилегированных аккаунтов, использовать видеосвязь для проверки. Даже такие продвинутые средства защиты как ключи FIDO2, устойчивые к фишингу, здесь бы не помогли — против социальной инженерии, направленной на живого человека на другом конце провода, они бессильны.
А вот как следствие вообще вышло на Стокса — это уже отдельная детективная история. Ключевую роль сыграл так называемый глобальный идентификатор устройства — g:6755467234350028. Это персистентный идентификатор Microsoft, привязанный к конкретной установке Windows. Он переживает обновления операционной системы и меняется только при полной переустановке. Следователи обнаружили, что устройство с этим идентификатором зашло на страницу регистрации ngrok в 19:21 UTC 12 мая 2025 года — ровно в ту же минуту, когда был создан аккаунт ngrok, использованный при атаке. Спустя примерно три часа то же самое устройство через тот же прокси-сервер вышло на сайт ювелирного ритейлера.
Дальше цепочка улик стала еще интереснее. Устройство с этим идентификатором появлялось на тех же IP-адресах и в те же моменты времени, что и аккаунты в Snapchat, Apple и Ф⃰, привязанные к Стоксу. В июне 2024 года это был Таллин — его родной город. В ноябре — Нью-Йорк. В феврале 2025-го — Таиланд. Эти перемещения совпали с записями Госдепартамента США о его поездках.
Парадоксально, но при всей технической осторожности — использовании VPN, туннелирования, псевдонимов — Стокс, судя по материалам дела, сам себя выдал через соцсети. В Snapchat он выкладывал фото с наличными, часами, бриллиантовыми цепочками с надписью "HACK THE PLANET". Публиковал снимки из поездок, совпадавшие по географии с теми же городами, что фигурировали в IP-логах. Выложил фотографию эстонского полицейского участка. И, судя по всему, откровенно дразнил полицию, заявляя, что те понятия не имеют, кого упустили.
Прокуроры описывают Scattered Spider как единую группировку, ответственную более чем за 100 взломов и свыше 100 миллионов долларов вымогательских выплат. Но исследователи из Group-IB смотрят на это иначе. По их данным, Scattered Spider — не централизованная структура, а рыхлое объединение мелких независимых ячеек, обычно не более пяти человек в каждой. Их связывают общие тактики, инструменты и чаты, но не единый руководитель. Group-IB прямо сравнивает это с движением Anonymous и делает вывод: аресты отдельных участников сами по себе угрозу не остановят.
Дело Стокса — не первое и явно не последнее в цепочке подобных разбирательств. Шотландец Тайлер Бьюкенен признал вину в США в апреле 2026 года по обвинениям в мошенничестве и краже личных данных, связанным с этой же группировкой. Ноа Урбан, известный как "Sosa", получил в 2025 году 10 лет тюрьмы за схему подмены SIM-карт. А в Великобритании два предполагаемых участника недавно признали вину по делу о взломе Transport for London, ущерб от которого оценили в 29 миллионов фунтов.
Что касается изъятых у Стокса жестких дисков — их содержимое пока неизвестно. Но если там найдутся инструменты, данные об инфраструктуре или контакты других участников сети, это может дать следствию куда больше, чем сам факт одного ареста.

Изображение носит иллюстративный характер
История взлома, к которому его причастность и пытаются доказать прокуроры, началась в мае 2025 года и заняла всего несколько дней — с 12 по 15 число. Целью стал люксовый ювелирный ритейлер. Атакующие даже не пытались ломать защиту техническими средствами. Вместо этого позвонили в службу поддержки компании, используя номера Google Voice, и представились сотрудниками, забывшими пароль. Простая социальная инженерия сработала — персонал сбросил пароли и устройства многофакторной аутентификации для нескольких учетных записей.
Дальше события развивались стремительно. Буквально за несколько часов злоумышленники получили контроль над тремя аккаунтами, два из которых принадлежали IT-администраторам компании. Установили туннелирующие утилиты ngrok и Teleport, перенаправили данные в облачное хранилище Amazon и вытащили как минимум 77 гигабайт корпоративной информации.
Затем последовала попытка развернуть шифровальщик и требовать выкуп. Служба безопасности ритейлера заметила подозрительную активность и выкинула злоумышленников из сети раньше, чем те успели зашифровать данные. Тем не менее вымогатели отправили письмо с темой "IMPORTANT: WE STOLE THE DATA, CONTACT UMMEDIATELY" — с опечаткой в слове "immediately", которую никто исправлять не стал. Требовали 8 миллионов долларов в криптовалюте. Компания платить отказалась. По итогу инцидент обошелся ей примерно в 2 миллиона долларов — расследование, устранение последствий, простои в работе.
Специалисты по кибербезопасности, разбиравшие этот случай, отмечают: уязвимость была не техническая, а процессная. Проблема не в софте, а в том, что служба поддержки поверила звонившему на слово. Рекомендации стандартные — перезванивать на номер из базы данных для подтверждения личности, требовать подпись руководителя при сбросе доступа привилегированных аккаунтов, использовать видеосвязь для проверки. Даже такие продвинутые средства защиты как ключи FIDO2, устойчивые к фишингу, здесь бы не помогли — против социальной инженерии, направленной на живого человека на другом конце провода, они бессильны.
А вот как следствие вообще вышло на Стокса — это уже отдельная детективная история. Ключевую роль сыграл так называемый глобальный идентификатор устройства — g:6755467234350028. Это персистентный идентификатор Microsoft, привязанный к конкретной установке Windows. Он переживает обновления операционной системы и меняется только при полной переустановке. Следователи обнаружили, что устройство с этим идентификатором зашло на страницу регистрации ngrok в 19:21 UTC 12 мая 2025 года — ровно в ту же минуту, когда был создан аккаунт ngrok, использованный при атаке. Спустя примерно три часа то же самое устройство через тот же прокси-сервер вышло на сайт ювелирного ритейлера.
Дальше цепочка улик стала еще интереснее. Устройство с этим идентификатором появлялось на тех же IP-адресах и в те же моменты времени, что и аккаунты в Snapchat, Apple и Ф⃰, привязанные к Стоксу. В июне 2024 года это был Таллин — его родной город. В ноябре — Нью-Йорк. В феврале 2025-го — Таиланд. Эти перемещения совпали с записями Госдепартамента США о его поездках.
Парадоксально, но при всей технической осторожности — использовании VPN, туннелирования, псевдонимов — Стокс, судя по материалам дела, сам себя выдал через соцсети. В Snapchat он выкладывал фото с наличными, часами, бриллиантовыми цепочками с надписью "HACK THE PLANET". Публиковал снимки из поездок, совпадавшие по географии с теми же городами, что фигурировали в IP-логах. Выложил фотографию эстонского полицейского участка. И, судя по всему, откровенно дразнил полицию, заявляя, что те понятия не имеют, кого упустили.
Прокуроры описывают Scattered Spider как единую группировку, ответственную более чем за 100 взломов и свыше 100 миллионов долларов вымогательских выплат. Но исследователи из Group-IB смотрят на это иначе. По их данным, Scattered Spider — не централизованная структура, а рыхлое объединение мелких независимых ячеек, обычно не более пяти человек в каждой. Их связывают общие тактики, инструменты и чаты, но не единый руководитель. Group-IB прямо сравнивает это с движением Anonymous и делает вывод: аресты отдельных участников сами по себе угрозу не остановят.
Дело Стокса — не первое и явно не последнее в цепочке подобных разбирательств. Шотландец Тайлер Бьюкенен признал вину в США в апреле 2026 года по обвинениям в мошенничестве и краже личных данных, связанным с этой же группировкой. Ноа Урбан, известный как "Sosa", получил в 2025 году 10 лет тюрьмы за схему подмены SIM-карт. А в Великобритании два предполагаемых участника недавно признали вину по делу о взломе Transport for London, ущерб от которого оценили в 29 миллионов фунтов.
Что касается изъятых у Стокса жестких дисков — их содержимое пока неизвестно. Но если там найдутся инструменты, данные об инфраструктуре или контакты других участников сети, это может дать следствию куда больше, чем сам факт одного ареста.