Nach Darstellung des US-Justizministeriums wurde Peter Stokes nach einer Interpol-Rotfahndung im April von finnischen Behörden festgenommen und nun in die USA überstellt. Der 19-Jährige soll die Aliasnamen „Bouquet“, „Spencer“ und „Jordan“ verwendet haben. Nach seinem Gerichtstermin am Dienstag blieb er in Gewahrsam der Strafverfolgungsbehörden.

Die nun entsiegelte Strafanzeige des FBI konzentriert sich vor allem auf einen Vorfall bei Company F am oder um den 12. Mai 2025. Die Ermittler werfen Stokes und mutmaßlichen Komplizen vor, Daten des Unternehmens gestohlen und danach 8 Millionen US-Dollar Lösegeld in Kryptowährung verlangt zu haben. Das Unternehmen zahlte laut FBI nicht. Dennoch beliefen sich die Verluste durch Betriebsunterbrechungen, Untersuchung und Gegenmaßnahmen nach Angaben der Behörde auf rund 2 Millionen US-Dollar; weitere Verluste seien erwartet worden.

Die Beschwerdeschrift beschreibt den mutmaßlichen Angriffsweg im Detail. Demnach gaben sich die Täter als Mitarbeiter von Company F aus und beantragten die Rücksetzung ihrer Authentifizierungsdaten, darunter Passwort und Mobilgerät für die Mehrfaktor-Authentifizierung. „Mit dieser Phishing-Methode kompromittierten die Bedrohungsakteure innerhalb von ungefähr zwei bis drei Stunden drei Benutzerkonten von Company F“, heißt es in der Anzeige, darunter zwei Konten von IT-Administratoren mit Zugriff auf „hoch privilegierte“ Konten.

Nach Angaben des FBI nutzten die Verdächtigen Google-Voice-Nummern, um den IT-Helpdesk anzurufen und die Passwort-Zurücksetzungen anzustoßen. Anschließend hätten sie auf höher privilegierte Konten zugegriffen. Im weiteren Verlauf der Aktion sei ngrok eingesetzt worden, ein legitimes Werkzeug, das App-Entwickler zur Verwaltung von Internetverkehr verwenden. Laut Beschwerdeschrift diente das Tool dazu, einen „dauerhaften unbefugten Zugriff“ auf das Rechenzentrum des Unternehmens zu ermöglichen.

Die entsiegelte Anzeige wirft Stokes außerdem vor, bereits im März 2023 unbefugt in das Netzwerk einer „Online-Kommunikationsplattform“ eingedrungen zu sein, die in den Unterlagen als Company H geführt wird.

Scattered Spider wird im Quelltext als lose verbundene, englischsprachige Cybercrime-Gruppe beschrieben. Mutmaßliche Mitglieder der Gruppe wurden demnach bereits beschuldigt oder verurteilt wegen Betrugsaktionen mit SMS-Phishing, wegen Einbrüchen bei US-Casinos und in ein föderales Gerichtssystem sowie wegen einer großen Netzstörung bei der Londoner Verkehrsbehörde.

Die US-Regierung schätzt, dass Scattered Spider an mehr als 100 Netzwerkeinbrüchen beteiligt war und mehr als 100 Millionen US-Dollar an Lösegeldzahlungen eingesammelt hat.