20-летний Ной Урбан (Noah Urban), которого считают членом хакерской группировки Scattered Spider, признал себя виновным. Ему грозит длительный тюремный срок, а также придется выплатить 13,2 млн долларов в качестве компенсации 59 жертвам группы.
Ной Урбан, известный в сети под никами Sosa, Elijah, Gustavo Fring и King Bob, был арестован в январе 2024 года, а обвинения против него были оглашены властями США в ноябре 2024 года, когда были названы имена еще четырех человек, предположительно являющихся членами Scattered Spider.
Изначально Урбан не признавал себя виновным, но, согласно судебным документам, на прошлой неделе он признал свою вину по обвинениям, выдвинутым против него в Калифорнии и Флориде. Также, по данным местного новостного издания News4Jax, в рамках этого соглашения он согласился выплатить 59 пострадавшим более 13 млн долларов.
Так, Урбан признал себя виновным по двум пунктам обвинения в мошенничестве с использованием электронных средств во Флориде, одному обвинению в краже личных данных при отягчающих обстоятельствах, а также по одному пункту обвинения в мошенничестве с использованием электронных средств в Калифорнии.
Максимальный срок тюремного заключения по каждому из обвинений в мошенничестве с использованием электронных средств составляет 20 лет, а за кражу личных данных при отягчающих обстоятельствах полагается еще не менее двух лет лишения свободы. Кроме того, Урбан будет оштрафован на сумму не менее 1 млн долларов США.
Среди жертв Урбана и еще двух участников Scattered Spider числятся как организации, так и частные лица, у которых хакеры похитили до 3,5 млн долларов в период с августа 2022 по март 2023 года.
В ходе обыска в доме хакера в 2023 году правоохранители изъяли различные криптовалюты на сумму более 3 млн долларов (по текущим курсам), 27 702 доллара наличными, ювелирные украшения и шесть дорогих часов.
Также при обыске на его компьютере были найдены программы для умышленного уничтожения файлов, пароли жертв и учетные данные для различных криптокошельков, с которых он совершал кражи. В этих кошельках обнаружилась история транзакций, связывающих Урбана с многочисленными преступлениями.
При этом правоохранители сообщали, что хакер не очищал историю браузера, где в итоге нашли точные даты и время, когда он входил в почтовые ящики жертв.
Отметим, что по информации известного журналиста-расследователя Брайана Кребса, Урбан под ником King Bob также был известен тем, что сливал в сеть и пытался продать неизданную музыку своих любимых исполнителей, включая Lil Uzi Vert, Playboi Carti и Juice Wrld.
Кребс предполагал, что доступ записями хакер получил в ходе атаки на представителей музыкальной индустрии, с помощью классической для Scattered Spider тактики с подменой SIM-карт.
Группа Scattered Spider известна и под другими именами: Starfraud, Octo Tempest, Muddled Libra, 0ktapus (Group-IB), UNC3944 (Mandiant) и Scatter Swine (Okta).
Считается, что группировка предположительно активна с 2022 года, а ее финансово мотивированные атаки в основном направлены на организации, работающие в сфере управления отношениями с клиентами (CRM), аутсорсинга бизнес-процессов, телекоммуникаций и технологий.
Как правило, группа использует сложные схемы с применением социальной инженерии, которые часто связаны с подменой SIM-карт (SIM swap). В частности Scattered Spider известна своими атаками с использованием вымогательского ПО BlackCat (Alphv), Qilin и RansomHub, в том числе против MGM Resorts и сети казино Caesars Entertainment.
Осенью 2023 года специалисты Mandiant предупреждали, что Scattered Spider взломали как минимум 100 организаций, в основном расположенных в США и Канаде. Тогда ИБ-специалисты пришли к выводу, что основной состав Scattered Spider — это англоговорящие подростки в возрасте от 16 до 22 лет.
По данным уже упомянутого выше Брайана Кребса, участники Scattered Spider также связаны со сравнительно молодым криминальным феноменом Com (иногда The Comm или The Com, сокращение от Community).
Экосистема Com объединяет в Telegram и Discord тысячи англоговорящих подростков, которые занимаются криптовалютным мошенничеством и различным скамом, а порой взламывают крупные транснациональные корпорации. В своем блоге Кребс называл Com чем-то вроде социальной сети для киберпреступников.
