Documento judicial revela que ID de dispositivo Windows ajudou o FBI a rastrear suspeito do Scattered Spider
7 de Julho de 2026

Promotores dos Estados Unidos ligaram um suposto hacker do grupo Scattered Spider a uma invasão contra uma joalheria de luxo com base em um identificador persistente de dispositivo Windows, segundo uma queixa federal recém-divulgada.

Registros da Microsoft associaram esse identificador primeiro à conta que os invasores usaram para manter o acesso durante a intrusão de maio de 2025 e, depois, a contas online que, segundo os promotores, pertencem a Peter Stokes, de 19 anos.

Stokes responde por conspiração, invasão de sistema e fraude.

Cidadão com dupla nacionalidade, dos Estados Unidos e da Estônia, conhecido online como “Bouquet”, ele foi extraditado da Finlândia e fez sua primeira audiência em Chicago em 30 de junho, conforme noticiado pela THN.

Ele é considerado inocente até o julgamento.

Como a invasão aconteceu

Entre 12 e 15 de maio de 2025, os invasores ligaram para o suporte de TI da varejista a partir de números do Google Voice, se passaram por funcionários bloqueados e conseguiram que a equipe redefinisse senhas de colaboradores e os dispositivos móveis vinculados à autenticação multifator.

Em poucas horas, eles controlavam três contas, duas delas de administradores de TI.

Também instalaram o ngrok e uma segunda ferramenta de tunelamento chamada Teleport, moveram dados para armazenamento em nuvem da Amazon e extraíram pelo menos 77 gigabytes.

Tudo indica que tentaram implantar ransomware, mas a equipe de segurança da empresa bloqueou a ação e os removeu da rede.

Mesmo assim, os invasores enviaram um e-mail de extorsão com o assunto “IMPORTANT: WE STOLE THE DATA, CONTACT UMMEDIATELY [sic]” e, mais tarde, exigiram 8 milhões de dólares em criptomoedas.

A empresa não pagou.

Ainda assim, a violação custou cerca de 2 milhões de dólares em interrupções, investigação e limpeza.

A porta de entrada foi o suporte de TI, não uma falha de software.

A correção, nesse caso, é de processo, não de patch: é preciso verificar a identidade antes de qualquer redefinição, com retorno de chamada para um número já registrado, aprovação de um gestor ou checagens por vídeo para contas privilegiadas.

MFA resistente a phishing, como chaves FIDO2, enfraquece outros métodos do grupo, mas não impede nada se o suporte de TI redefinir uma conta após uma simples ligação.

O identificador que levou os investigadores a Stokes

Os investigadores chegaram a Stokes a partir do dispositivo que abriu a conta do ngrok.

Segundo o FBI, a Microsoft informou que ele carregava o Global Device Identifier g:6755467234350028, descrito pela empresa como um identificador persistente ligado a uma única instalação do Windows, que sobrevive a atualizações do sistema operacional, mas muda quando o Windows é reinstalado.

Os registros da Microsoft mostram que o dispositivo acessou a página de cadastro do ngrok às 19h21 UTC de 12 de maio de 2025, no mesmo minuto em que a conta foi criada, e visitou o site da varejista pelo mesmo proxy cerca de três horas depois.

O dispositivo também reaparecia nos mesmos endereços IP e nos mesmos horários que contas do Snapchat, Apple e Facebook atribuídas por promotores a Stokes: um endereço na cidade natal dele, Tallinn, na Estônia, em junho de 2024, depois em Nova York, em novembro, e na Tailândia, em fevereiro de 2025, em linha com registros de viagem do Departamento de Estado.

A queixa mostra um operador que tentou esconder o ataque com proxy via VPN, ferramentas de tunelamento e aliases, mas não a si mesmo.

Segundo os promotores, seu Snapchat exibia dinheiro, relógios e correntes de diamante com a inscrição “HACK THE PLANET”, além das viagens que o colocavam nessas cidades.

Ele ainda postou fotos de uma delegacia da polícia da Estônia e zombou dizendo que os federais não faziam ideia do que haviam deixado escapar.

Uma prisão, e por que ela talvez não desacelere a ameaça

Agora, os investigadores conseguem ligar um único operador à máquina que preparou a invasão.

Mas uma prisão mal atinge a ameaça mais ampla.

Em pesquisas recentes, a Group-IB argumenta que Scattered Spider não é, na prática, um grupo único.

Seria uma coletividade solta de pequenas células independentes, em geral com no máximo cinco pessoas, unidas por truques, ferramentas e salas de bate-papo em comum, e não por um chefe único.

A empresa compara esse cenário ao movimento Anonymous e afirma que prender algumas dessas células “não vai interromper a ameaça em si”.

Os promotores descrevem o Scattered Spider como um grupo por trás de mais de 100 invasões e mais de 100 milhões de dólares em resgates.

A Group-IB diz que o rótulo descreve melhor uma cena do que uma quadrilha e sustenta que essa estrutura frouxa explica por que a atividade continua mesmo após cada prisão.

Parte de uma sequência maior de casos

Outros processos recentes ligados ao Scattered Spider seguem o mesmo padrão: indivíduos presos um a um, com o mesmo manual operacional intacto.

Em abril de 2026, o escocês Tyler Buchanan se declarou culpado nos Estados Unidos por fraude e roubo de identidade ligados ao grupo.

Em 2025, Noah Urban, conhecido como “Sosa”, foi condenado a 10 anos por um esquema de troca de chip associado ao Scattered Spider.

No Reino Unido, dois supostos membros admitiram recentemente participação no ataque ao Transport for London, que causou prejuízo estimado em 29 milhões de libras.

Quando a polícia finlandesa deteve Stokes no aeroporto de Helsinque, quando ele tentava embarcar para o Japão, apreendeu dois discos rígidos de 2 terabytes.

Todo o caso foi construído a partir desse tipo de material: registros de dispositivos, vínculos entre contas e rastros de IP.

Em uma rede tão difusa, os discos podem valer mais do que a própria condenação, se guardarem ferramentas, infraestrutura ou contatos que levem ao próximo integrante.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...