C’è un dettaglio tecnico che ha fatto crollare l’intera copertura di un presunto membro di Scattered Spider, ed è un identificativo generato da Windows 11. Peter Stokes, 19 anni, doppia cittadinanza statunitense ed estone, è finito al centro di una denuncia penale depositata negli Stati Uniti con l’accusa di far parte del gruppo cybercriminale noto anche come Octo Tempest. Nei documenti giudiziari compare con diversi alias, tra cui Bouquet, Spencer e Jordan. Le imputazioni sono pesanti, si va dalla cospirazione all’accesso non autorizzato ai sistemi, passando per estorsione informatica e frode telematica.
Secondo l’FBI il gruppo avrebbe colpito oltre 100 organizzazioni, muovendo più di 100 milioni di dollari, circa 92 milioni di euro, tra riscatti pagati e danni provocati alle vittime. Il metodo descritto dagli investigatori è quello ormai collaudato e purtroppo ancora efficace. Prima l’ingegneria sociale, poi il furto delle credenziali, l’aggiramento dell’autenticazione a più fattori, l’ingresso nei sistemi interni, il prelievo dei dati e infine la richiesta di riscatto in criptovalute, così da restare nell’ombra.
L’attacco al rivenditore di lusso e i 77 GB spariti
Il caso più circostanziato riguarda una società indicata nei documenti come Company F, un grande rivenditore di beni di lusso. Tra il 12 e il 15 maggio 2025 gli hacker avrebbero preso di mira l’help desk IT dell’azienda con telefonate fraudolente, spacciandosi per dipendenti e chiedendo il reset delle credenziali. In poche ore sarebbero riusciti a compromettere tre account, tra cui quelli di due amministratori IT. Da quel punto in poi il gioco era fatto.
Con quegli accessi il gruppo si sarebbe insediato stabilmente su alcune piattaforme interne, sfruttando strumenti di tunneling e accesso remoto per spostarsi nella rete e portare via informazioni. L’FBI parla di almeno 77 GB di dati esfiltrati, tra cui risorse OneDrive dei dipendenti, dati di Active Directory e altro materiale aziendale. Gli aggressori avrebbero poi mandato la richiesta di riscatto, sostenendo di aver rubato circa 100 GB di dati e chiedendo 8 milioni di dollari, ovvero intorno ai 7,4 milioni di euro. L’azienda non avrebbe pagato, ma avrebbe stimato danni per circa 2 milioni di dollari, quasi 1,8 milioni di euro, tra blocchi operativi, indagini e messa in sicurezza.
Il GDID, l’impronta digitale che non si cancella
Qui entra in scena il particolare più curioso di tutta la vicenda. Gli investigatori hanno legato Stokes all’attacco attraverso una serie di elementi tecnici, account, indirizzi IP, identificativi di dispositivi Microsoft, accessi a servizi usati durante l’intrusione e sovrapposizioni con profili social e Apple riconducibili al giovane. Nei documenti compaiono anche viaggi all’estero, foto pubblicate su Snapchat e messaggi che, per l’FBI, rafforzano il collegamento con altri membri del gruppo.
Ma il vero tallone d’Achille è stato il Global Device Identifier, o GDID. Si tratta di un ID univoco che viene generato durante l’installazione di Windows 11 e che resta abbinato al PC anche dopo aggiornamenti o modifiche al software. Attraverso questo codice le autorità americane hanno collegato quel computer all’intera serie di attacchi, notando come tornasse fuori nelle attività del giovane persino quando usava sistemi per nascondere l’IP o aggirare i controlli di sicurezza. Il GDID è spuntato nelle connessioni verso i server usati per distribuire il ransomware, negli accessi illegittimi alle reti aziendali e nelle comunicazioni con le infrastrutture di comando e controllo. Poi il confronto con i dispositivi sequestrati. E la corrispondenza c’era, netta.