Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Documento judicial revela que el ID de dispositivo de Windows ayudó al FBI a rastrear miembro de Scattered Spider


Fiscales estadounidenses vincularon a Peter Stokes, un joven de 19 años, con un ataque informático a una joyería de lujo mediante el rastreo de un identificador de dispositivo de Windows. El grupo Scattered Spider logró el acceso engañando al soporte técnico de la empresa y robando 77 GB de datos, aunque no pudieron desplegar el ransomware. Stokes fue extraditado desde Finlandia y enfrenta cargos de fraude e intrusión informática.





Fiscales de EE. UU. vincularon a un presunto hacker de Scattered Spider con la intrusión en un minorista de joyería de lujo mediante el uso de un ID de dispositivo de Windows persistente, según una denuncia federal recientemente desclasificada aquí.

Los registros de Microsoft vincularon ese ID primero a la cuenta que los atacantes utilizaron para mantener el acceso durante la intrusión de mayo de 2025, y luego a cuentas en línea que, según los fiscales, pertenecen a Peter Stokes, de 19 años.

Stokes está acusado de conspiración, intrusión informática y fraude. Es ciudadano estadounidense y estonio, conocido en línea como "Bouquet", fue extraditado desde Finlandia aquí y compareció por primera vez ante el tribunal de Chicago el 30 de junio. Se presume que es inocente hasta el juicio.


Cómo funcionó la intrusión



Entre el 12 y el 15 de mayo de 2025, los atacantes llamaron al servicio de asistencia técnica del minorista desde números de Google Voice, fingieron ser empleados bloqueados y lograron que el personal restableciera las contraseñas de los empleados y los dispositivos móviles vinculados a su autenticación multifactor.

En pocas horas, controlaban tres cuentas, dos de ellas pertenecientes a administradores de TI. Instalaron ngrok y una segunda herramienta de túnel llamada Teleport, movieron datos al almacenamiento en la nube de Amazon y extrajeron al menos 77 gigabytes.

Parece que intentaron desplegar ransomware, pero el equipo de seguridad del minorista lo bloqueó y los expulsó de la red. Los atacantes aun así enviaron un correo electrónico de rescate con el asunto "IMPORTANTE: ROBAMOS LOS DATOS, CONTACTE INMEDIATAMENTE", y más tarde pidieron 8 millones de dólares en criptomonedas. La empresa no pagó. La brecha aun así le costó unos 2 millones de dólares en interrupciones, investigación y limpieza.

La vía de entrada fue el servicio de asistencia, no un fallo de software. La solución es un proceso, no un parche: verifica la identidad antes de cualquier restablecimiento mediante una llamada de retorno a un número ya registrado, la firma de un gerente o verificaciones de video para cuentas privilegiadas. El MFA resistente al phishing, como las claves FIDO2, mitiga otros métodos del grupo, pero no sirve de nada si el soporte técnico restablece una cuenta mediante una llamada telefónica.


El ID que llevó a los investigadores hasta Stokes



Los investigadores rastrearon hasta Stokes desde el dispositivo que abrió la cuenta de ngrok. Microsoft informó al FBI que este llevaba el Global Device Identifier g:6755467234350028, que Microsoft describe como un identificador persistente vinculado a una única instalación de Windows, que sobrevive a las actualizaciones del sistema operativo pero cambia cuando se reinstala Windows.



Los registros de Microsoft muestran que el dispositivo visitó la página de registro de ngrok a las 19:21 UTC del 12 de mayo de 2025, el mismo minuto en que se creó la cuenta, y llegó al sitio web del minorista a través del mismo proxy unas tres horas más tarde.

El dispositivo también apareció repetidamente en las mismas direcciones IP, a las mismas horas, que las cuentas de Snapchat, Apple y Facebook que los fiscales atribuyen a Stokes: una dirección en su ciudad natal de Tallin, Estonia, en junio de 2024, luego Nueva York en noviembre y Tailandia en febrero de 2025, coincidiendo con los registros de viaje del Departamento de Estado.



La denuncia muestra a un operador que ocultó el ataque detrás de un proxy VPN, herramientas de túnel y alias, pero no a sí mismo. Los fiscales dicen que su Snapchat presumía de dinero, relojes y cadenas de diamantes que decían "HACK THE PLANET", junto con los mismos viajes que lo situaban en esas ciudades. Incluso publicó fotos de una comisaría estonia y se burló diciendo que los federales no tenían idea de lo que habían dejado escapar.


Un arresto, y por qué puede que no frene la amenaza



Los investigadores ahora pueden vincular a un único operador con la máquina que configuró un ataque. Pero un solo arresto apenas afecta a la amenaza general.

En una investigación reciente y separada, Group-IB sostiene aquí que Scattered Spider no es realmente un solo grupo. Es un colectivo laxo de células pequeñas e independientes, la mayoría de no más de cinco personas, unidas por trucos, herramientas y salas de chat compartidas en lugar de un jefe común. Group-IB lo compara con el movimiento Anonymous y afirma que arrestar a algunas de estas células "no detendrá la amenaza en sí misma".

Los fiscales describen a Scattered Spider como un grupo detrás de más de 100 intrusiones y más de 100 millones de dólares en rescates. Group-IB dice que la etiqueta encaja mejor con una "escena" que con una banda, y sostiene que esa estructura laxa es la razón por la cual la actividad sobrevive a cada arresto.


Parte de una serie más larga de casos



Otros procesamientos recientes de Scattered Spider siguen la misma forma: individuos arrestados uno a uno, mientras el manual de estrategias compartido permanece intacto. En abril de 2026, el escocés Tyler Buchanan se declaró culpable en EE. UU. de fraude y robo de identidad vinculados al grupo.

En 2025, Noah Urban, conocido como "Sosa", fue sentenciado a 10 años debido a un esquema de intercambio de tarjetas SIM vinculado a Scattered Spider. Y en el Reino Unido, dos presuntos miembros admitieron recientemente el hackeo de Transport for London, que costó un estimado de 29 millones de libras.

Cuando la policía finlandesa detuvo a Stokes en el aeropuerto de Helsinki mientras intentaba embarcar en un vuelo a Japón, incautaron dos discos duros de 2 terabytes. Todo este caso se construyó a partir de ese tipo de material: registros de dispositivos, enlaces de cuentas y rastros de IP. En una red tan difusa, los discos podrían importar más que la condena, si contienen las herramientas, infraestructura o contactos que lleguen al siguiente miembro.

Fuente:
THN

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.