返回
快讯

19岁Scattered Spider嫌疑人被引渡受审

芬兰将一名被指属于Scattered Spider的19岁嫌疑人引渡至美国,面对共谋、计算机入侵和欺诈指控。美国司法部称其与至少四起入侵有关,其中一起勒索约800万美元加密货币。执法与公司应强化身份核验及抗钓鱼登录方式。

一名被指属于黑客组织 Scattered Spider 的少年已从芬兰被引渡到美国,面对共谋、计算机入侵和欺诈指控,美国司法部于 7 月 1 日宣布。

19 岁的 Peter Stokes 是美国和爱沙尼亚双重国籍公民,他于 6 月 30 日出现在芝加哥联邦法院,法官随后裁定将其羁押。

芬兰警方于 4 月根据 Interpol Red Notice(一种国际逮捕请求)将其逮捕,随后他在 6 月底被引渡。此案是近期一系列逮捕中的最新一例,这些案件都针对一个与赌场、零售商和航空公司遭入侵有关的团伙。

法庭记录将 Stokes 的网络身份标识为 "Bouquet",并描述了至少四起入侵事件,第一起发生在他 16 岁时。在其中一起案件中,检方称他与他人于 2025 年 5 月闯入一家高端珠宝零售商,复制其数据,并要求约 800 万美元的加密货币。

该零售商拒绝付款,将入侵者赶走,并花费至少 200 万美元进行清理。根据这些记录,芬兰警员在赫尔辛基机场拦下 Stokes 时,查扣了两块 2-terabyte 硬盘,当时他正试图搭乘飞往日本的航班。

Scattered Spider 是什么

Scattered Spider 不是传统帮派。它是一个松散的、主要使用英语的年轻人群体,其中许多人是青少年,分布在美国、英国和欧洲。

安全公司也以 Octo Tempest、UNC3944 和 0ktapus 等名称追踪它。其主要手法简单却难以阻止。它不去破解软件,而是欺骗人。

成员会致电公司的 IT help desk,假装自己是一名被锁定账户的员工,并说服工作人员重置密码或批准登录。一旦进入系统,他们就窃取文件,并威胁除非获得付款,否则将泄露这些文件。

该组织最广为人知的是 2023 年针对 MGM Resorts 和 Caesars Entertainment 的攻击,这些攻击导致 MGM 的赌场和酒店系统瘫痪。到 2025 年,它又被关联到针对英国零售商 Marks & Spencer、Harrods 和 Co-op 的攻击,随后是美国保险公司,再后来是航空公司;安全研究人员将这种模式描述为一次只转向一个行业。

助理司法部长 A. Tysen Duva 表示,该组织已涉及“超过 100 起网络入侵,导致超过 1 亿美元的赎金支付”。

更广泛整肃的一部分

Stokes 只是 Scattered Spider 故事中更大范围变化的一部分:警方正在把长期以聊天室账号存在的这个团伙,落实为具体姓名、国家和出庭日期。近期案件包括:

来自苏格兰的 24 岁男子 Tyler Buchanan,曾被形容为头目之一,他于 2026 年 4 月在美国法院对欺诈和身份盗窃认罪。他承认通过网络钓鱼活动盗取了至少 800 万美元加密货币,这些活动波及包括 Twilio 和 LastPass 在内的公司;其法定最高刑期为 22 年。

来自佛罗里达的成员 Noah Urban 于 2025 年 8 月被判 10 年监禁,并被要求赔偿约 1300 万美元。

来自英国的两名年轻人 Thalha Jubair 和 Owen Flowers 于 2026 年 6 月对 2024 年针对伦敦交通局 Transport for London 的攻击认罪。Flowers 还承认共谋入侵两家美国医疗系统 SSM Health 和 Sutter Health。

企业如何防御

这套作案手法在这些逮捕后依然存在。Mandiant 报告称,在 2025 年一系列逮捕之后,与该组织相关的攻击一度减少,但随后警告其他团伙已经在复制这种手法。

薄弱环节是 help desk,而不是防火墙,因此真正有效的修补措施,是在重置前进行更严格的身份核验,以及使用钓鱼无法窃取的登录密钥。

一份美国及国际联合 advisory 还补充说,一旦入侵者进入内部,他们常常会潜伏在公司的聊天工具中,并加入公司为应对入侵而召开的通话,观察谁在追查他们。

对于调查人员来说,赫尔辛基查获的硬盘可能和指控本身一样重要:从一名成员那里拿到的设备,往往会牵出其他人。Stokes 仍被推定无罪,他的案件也还必须进入审判程序,但过去一年的情况已经说明了一点:年轻、分散在国界之外、并且擅长绕过 help desk,已经不足以让这个团伙继续躲开法庭。