Один звонок в техподдержку запустил цепочку событий на миллионы долларов.
Крупные кибератаки нередко начинаются с одного убедительного звонка в службу поддержки, и теперь герой именно такой истории, 19-летний Питер Стоукс, предстанет перед американским судом по обвинению в участии в операциях группировки Scattered Spider. Молодого человека с гражданством США и Эстонии экстрадировали из Финляндии в Чикаго, где ему предъявили обвинения в сговоре, компьютерных взломах и мошенничестве.
Главным эпизодом дела стала атака на неназванную сеть магазинов ювелирных изделий класса люкс в мае 2025 года. По версии ФБР, злоумышленники похитили корпоративные данные и потребовали выкуп в размере $8 млн в криптовалюте.
Для проникновения подозреваемые выдавали себя за сотрудников компании и звонили в службу технической поддержки с номеров Google Voice. Они просили сбросить пароли и привязку мобильных устройств, используемых для многофакторной аутентификации. За два-три часа атакующие получили доступ к трём учётным записям, включая аккаунты двух IT-администраторов с расширенными правами.
После захвата аккаунтов злоумышленники применили легальный сервис ngrok, который разработчики используют для перенаправления интернет-трафика. По данным следствия, инструмент помог сохранить постоянный доступ к корпоративному центру обработки данных.
Компания отказалась платить выкуп, однако остановка рабочих процессов, расследование и восстановление обошлись примерно в $2 млн. ФБР также связывает Стоукса с несанкционированным проникновением в сеть неназванной платформы для онлайн-общения в марте 2023 года.
Финские власти задержали Стоукса в апреле по «красному уведомлению» Интерпола. После первого заседания в федеральном суде Северного округа Иллинойса обвиняемый остался под стражей. Власти США считают, что участники Scattered Spider причастны более чем к 100 взломам и получили свыше $100 млн выкупов.