Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon El ID de Windows permite arrestar a miembro de Scattered Spider


Peter Stokes, un ciudadano estadounidense y estonio de 19 años, fue arrestado en Finlandia el 10 de abril de 2026. El joven, quien operaba bajo los alias "Bouquet", "Spencer" y "Jordan", fue identificado como un presunto integrante del grupo de hacking Scattered Spider gracias al rastreo de un identificador de dispositivo persistente de Microsoft, lo que permitió romper su anonimato.



Un identificador de dispositivo persistente de Microsoft se utilizó para desentrañar el anonimato de un presunto operador de Scattered Spider, según una demanda federal sustitutiva presentada en el Distrito Norte de Illinois.

Peter Stokes, de 19 años y ciudadano estadounidense-estonio, quien presuntamente utilizó los alias “Bouquet”, “Spencer” y “Jordan”, fue arrestado en Finlandia el 10 de abril de 2026, mientras intentaba embarcarse en un vuelo hacia Japón.

Al momento de su detención, llevaba consigo dos discos duros de dos terabytes, según el documento. Se encuentra retenido a la espera de su extradición y se enfrenta a cargos bajo la Ley de Fraude y Abuso Informático, así como a cargos de fraude electrónico y conspiración.

Los fiscales alegan que es miembro de Scattered Spider, también rastreado como Octo Tempest, UNC3944 y 0ktapus, un grupo vinculado a más de 100 intrusiones y a más de 100 millones de dólares en pagos de rescate.

Fue extraditado a los Estados Unidos en virtud de una Notificación Roja de Interpol y ahora enfrenta cargos federales en el Distrito Norte de Illinois por conspiración, intrusión informática y fraude.

Se utilizó el Identificador Global de Dispositivo de Microsoft para desenmascararlo

Los documentos judiciales revelan que un Identificador Global de Dispositivo de Microsoft, o GDID, fue fundamental para desenmascarar a Stokes. Un GDID es un código único incrustado en cada instalación de Windows, utilizado por Microsoft para telemetría de diagnóstico, informes de errores, análisis de uso de funciones y verificación de licencias; razón por la cual el cambio de un componente importante del hardware puede, a veces, revocar la activación de Windows.

Esa durabilidad socavó la seguridad operativa del operador. Según la denuncia, la intrusión en la “Compañía F”, un minorista de lujo multimillonario, comenzó el 12 de mayo de 2025, con llamadas de voice-phishing al servicio de asistencia técnica de TI.

(Fuente: DoJ)

Los atacantes suplantaron la identidad de empleados, provocaron restablecimientos de MFA y comprometieron tres cuentas, incluidas dos cuentas de administrador de TI con altos privilegios, en un plazo de dos a tres horas.

Posteriormente, los atacantes descargaron y ejecutaron un agente ngrok en un servidor virtual de la Compañía F, abriendo un túnel cifrado para evadir las defensas perimetrales. Los investigadores vincularon la cuenta de ngrok, creada el 12 de mayo a las 19:21 UTC, a la dirección IP 68.235.46.168, un proxy VPN alojado por Tzulo en Mount Prospect, Illinois.

Los datos fueron finalmente exfiltrados utilizando Teleport.sh y Amazon S3, sumando al menos 77 GB, seguidos de un despliegue de ransomware frustrado y una demanda de extorsión de 8 millones de dólares que no fue pagada.

Los registros de Microsoft situaron el dispositivo que portaba el GDID en la página de registro de ngrok en el minuto exacto en que se creó la cuenta y, más tarde, navegando por el sitio web de la Compañía F a través del mismo proxy .168. A partir de ahí, el FBI correlacionó el historial de IP del GDID con cuentas que se sabe pertenecen a Stokes: Apple, Snapchat, Facebook e incluso un inicio de sesión del juego Ubisoft/Growtopia.

Documentos Judiciales (Fuente: DoJ)

Las coincidencias fueron específicas. El mismo dispositivo y las mismas cuentas personales aparecieron en IPs idénticas geolocalizadas en Tallin, Estonia; Nueva York; y Tailandia, coincidiendo cada una con los registros de viaje del Departamento de Estado de Stokes y sus propias publicaciones en redes sociales desde hoteles de lujo. La VPN ocultaba el punto final de la red, pero el identificador de la instalación de Windows no rotaba con ella.

El caso es un recordatorio de que la infraestructura de anonimato protege la capa de red, no el dispositivo final. No existe una política pública y exhaustiva de Microsoft que detalle cuándo se comparten los datos de GDID con las fuerzas del orden, no se conoce ningún mecanismo de exclusión para el consumidor y no hay ningún informe de transparencia que desglose específicamente las divulgaciones de GDID.



Fuentes:
https://cybersecuritynews.com/windows-device-identifier-tracking/

0 comments :

Post a Comment

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.