一名 19 岁的美国和爱沙尼亚双重公民被指控属于分散蜘蛛网络犯罪组织,已从芬兰引渡到美国,在芝加哥面临联邦指控。
根据国际刑警组织的红色通缉令,彼得·斯托克斯于四月被芬兰当局逮捕,并于上周被引渡。司法部公告。周二公布的一份刑事起诉书指控他共谋、入侵计算机和欺诈。
检察官指控斯托克斯是 Scattered Spider 的成员,该黑客组织也被追踪为 Octo Tempest、UNC3944 和 0ktapus。该投诉仍然是一项指控,除非在法庭上被证明有罪,否则斯托克斯被视为无罪。
检察官指控什么
司法部表示,Scattered Spider 已与 100 多起网络入侵事件、超过 1 亿美元的赎金以及数百万受害者损失有关。
这些指控的部分重点是 2025 年 5 月涉及一家奢华珠宝零售商的入侵事件。检察官指控斯托克斯和同谋入侵了公司的计算机系统,窃取了数据,并索要约 800 万美元的加密货币。
在安全团队将攻击者从网络中清除后,该零售商没有支付赎金。检察官表示,该公司因中断、调查和缓解工作仍蒙受了至少 200 万美元的损失。
| 案例详情 | 信息披露 |
|---|---|
| 被告 | 彼得·斯托克斯 |
| 年龄 | 19 |
| 国籍 | 美国和爱沙尼亚双重公民 |
| 逮捕地点 | 芬兰 |
| 美国法院 | 伊利诺伊州北区 |
| 收费 | 阴谋、计算机入侵和欺诈 |
斯托克斯四月在芬兰被捕,后来被转移到美国。周二,他出现在芝加哥联邦法院,并被命令继续接受执法拘留。
路透社另据报道,斯托克斯在伊利诺伊州面临联邦共谋指控,司法部将此案与分散蜘蛛针对美国公司的更广泛活动联系起来。
联邦调查局芝加哥办事处在联邦调查局哥本哈根法律随员办公室的协助下领导了调查。司法部国际事务办公室与芬兰国家调查局合作以确保引渡。
| 日期 | 事件 |
|---|---|
| 2026 年 4 月 | 芬兰当局根据国际刑警组织红色通缉令逮捕了斯托克斯。 |
| 2026 年 6 月下旬 | 斯托克斯被引渡到美国。 |
| 2026 年 6 月 30 日星期二 | 刑事诉讼被启封,斯托克斯在芝加哥联邦法院出庭。 |
| 2026 年 7 月 1 日星期三 | 司法部公开宣布引渡。 |
分散蜘蛛是谁?
Scattered Spider 是一个出于经济动机的网络犯罪组织,以身份攻击、社会工程、勒索和勒索软件操作而闻名。
这MITRE ATT&CK 简介Scattered Spider 将 Scattered Spider 描述为至少自 2022 年以来活跃的以英语为母语的网络犯罪组织。MITRE 表示,该组织最初针对 CRM 提供商、业务流程外包公司、电信公司和技术组织,然后扩展到其他领域。
该组织的追踪名称还包括 Octo Tempest、UNC3944、Roasted 0ktapus 和 Storm-0875。其攻击通常侧重于帐户接管,而不是在入侵开始时传递传统的恶意软件。
- 帮助台模拟
- 短信网络钓鱼和语音网络钓鱼
- MFA 重置滥用行为
- SIM卡交换
- 凭证和会话令牌被盗
- 云和身份平台妥协
- 数据盗窃和勒索
- 勒索软件部署
分散蜘蛛如何获得访问权限
分散蜘蛛最知名的策略是社会工程。成员不仅仅依赖软件漏洞,还经常冒充员工或承包商来操纵 IT 支持团队重置密码或添加攻击者控制的 MFA 方法。
一个联合CISA咨询表示,分散蜘蛛攻击者使用推式轰炸和 SIM 交换攻击等技术来获取凭据、绕过 MFA 并访问受害者环境。
一旦进入内部,攻击者就可以搜索内部文档、云资源、电子邮件、文件共享和管理系统。这种身份驱动的方法可能会使早期活动看起来像合法的用户行为,除非防御者密切监控帐户变化。
| 攻击阶段 | 常见的分散蜘蛛行为 | 防守重点 |
|---|---|---|
| 初始访问 | 社会工程、网络钓鱼、服务台滥用、凭证被盗 | 强大的身份验证和防网络钓鱼 MFA |
| 权限提升 | 密码重置、添加 MFA 设备、云角色滥用 | 关于身份和管理员变更的警报 |
| 发现 | 跨电子邮件、云存储、内部文档和身份系统进行搜索 | 监控对敏感存储库的异常访问 |
| 勒索 | 数据盗窃、加密、勒索赎金、与受害者直接联系 | 分段、备份、数据丢失监控、响应计划 |
微软将 Octo Tempest 与激进勒索行为联系起来
微软的 Octo Tempest 分析将该行为者描述为一个出于经济动机的团体,他们利用广泛的社会工程活动来危害组织以进行勒索。
微软表示,Octo Tempest 与 0ktapus、Scattered Spider 和 UNC3944 有重叠,并指出该组织已扩展到数据盗窃、勒索软件和对 VMware ESXi 环境的攻击。
这种背景解释了为什么检察官和安全机构将该组织视为主要威胁。风险不仅限于密码被盗。成功的入侵可能会导致数据被盗、业务中断、勒索压力以及关键系统的加密。
为什么珠宝零售商事件很重要
2025 年 5 月的零售商案例显示,即使不支付赎金,业务也会受到影响。据检察官称,该公司避免了付款,但仍然产生了至少 200 万美元的中断、调查和缓解成本。
这种模式在现代敲诈勒索事件中很常见。即使攻击者未能完成每个目标,组织也可能在取证团队、法律支持、恢复、客户沟通、业务中断和安全重建方面投入大量资金。
这司法部发布表示该组织对美国各地的企业和组织造成了广泛的破坏。
激流行动和更广泛的网络犯罪损失
此案属于激流行动,这是一项联邦调查局针对网络犯罪分子、基础设施和网络犯罪、网络犯罪和欺诈背后的金融网络的行动。
联邦调查局的2025 年互联网犯罪报告摘要称,到 2025 年,网络犯罪将诈骗美国人近 210 亿美元。FBI 称,IC3 当年收到超过 100 万起投诉。
这些数字有助于解释联邦政府对引渡和国际网络犯罪案件的关注。跨境运作的组织可能会造成国内损失,同时依靠距离、别名和海外基础设施来降低被捕风险。
| 公制 | 报告数字 |
|---|---|
| 美国司法部称分散蜘蛛入侵 | 超过100个 |
| 美国司法部称支付赎金 | 超过 1 亿美元 |
| 投诉称零售商索要赎金 | 约800万美元 |
| 检察官指控零售商损失 | 至少200万美元 |
| 2025 年向 IC3 报告的美国网络犯罪损失 | 近210亿美元 |
企业如何降低分散蜘蛛风险
组织应将帮助台工作流程视为安全控制。当攻击者说服支持人员信任语音呼叫、短信、个人详细信息或紧急访问请求时,分散的蜘蛛式攻击通常会成功。
这CISA指导建议加强身份验证,密切监控可疑活动,并采取控制措施限制攻击者在帐户泄露后的活动。
公司还应该为直接勒索做好准备。分散的蜘蛛攻击者有联系受害者、向员工施压以及利用窃取的数据作为杠杆的记录。
- 在密码或 MFA 重置之前需要进行严格的身份验证。
- 尽可能使用防网络钓鱼的 MFA,例如 FIDO2 安全密钥。
- 针对新添加的 MFA 设备、异常密码重置和有风险的登录发出警报。
- 限制帮助台在不升级的情况下更改高风险帐户的权限。
- 监控云存储、电子邮件和文档存储库是否存在异常的批量访问。
- 将备份系统与日常身份和端点环境分开。
- 针对数据盗窃、勒索和勒索软件场景进行桌面练习。
安全团队应监控哪些内容
对于这种威胁,身份遥测与端点遥测一样重要。安全团队应审查帐户创建、权限更改、MFA 更改、条件访问策略编辑和管理员组成员身份更新。
这MITRE 组条目将分散的蜘蛛活动映射到有效帐户、社会工程、网络钓鱼、MFA 请求生成、云帐户发现和云存储数据等技术。
安全团队还应该注意访问后的攻击者行为。其中包括异常数据暂存、新的远程访问工具、尝试禁用安全产品、对密码库的异常访问以及对事件响应通信的访问。
| 信号 | 为什么这很重要 |
|---|---|
| 添加到帐户的新 MFA 设备 | 可能表明服务台操纵或帐户接管 |
| 重置密码后出现陌生登录 | 可以显示社会工程导致未经授权的访问 |
| 从电子邮件或云存储批量导出 | 可能表明勒索前数据被盗 |
| 安装新的远程管理工具 | 可以支持持久性和手动键盘访问 |
| 安全邮箱规则已更改 | 可能隐藏安全供应商或内部团队的警报 |
底线
彼得·斯托克斯的引渡标志着美国再次努力通过国际执法渠道追捕所谓的“分散蜘蛛”成员。
这路透社报道指出,美国检察官此前宣布对其他被指控的“分散蜘蛛”成员提出指控,这表明该组织及其更广泛的生态系统面临持续的压力。
对于防守者来说,这个教训仍然很实用。分散蜘蛛的目标是身份系统、服务台、云平台和商业信任。如果攻击者尝试相同的策略,强大的验证、快速检测帐户更改以及经过测试的勒索响应计划可以减少损失。
这微软研究院和FBI 网络犯罪数据指出了同样的趋势:社会工程和身份滥用现在造成了重大的经济损失,而不仅仅是恶意软件或软件漏洞。
FAQ
彼得·斯托克斯是谁?
彼得·斯托克斯 (Peter Stokes) 是一名 19 岁的美国和爱沙尼亚双重公民,被美国检察官指控为“分散蜘蛛”网络犯罪组织的成员。他被从芬兰引渡到芝加哥接受联邦指控。
彼得·斯托克斯面临哪些指控?
一项刑事诉讼指控斯托克斯犯有共谋、计算机入侵和欺诈罪。该投诉是一项指控,除非在法庭上被证明有罪,否则他被视为无罪。
什么是分散蜘蛛?
Scattered Spider 是一个出于经济动机的网络犯罪组织,以社会工程、帮助台假冒、MFA 滥用、数据盗窃、勒索和勒索软件活动而闻名。该组织还被追踪为 Octo Tempest、UNC3944 和 0ktapus。
检察官在珠宝零售商事件中指控了什么?
检察官指控斯托克斯及其同谋于 2025 年 5 月侵入一家豪华珠宝零售商,窃取数据,并索要约 800 万美元的加密货币。该公司没有付款,但检察官称其蒙受了至少 200 万美元的损失。
企业如何防御“分散蜘蛛”策略?
公司应加强帮助台身份检查、使用防网络钓鱼的 MFA、监控密码和 MFA 重置事件、限制管理员更改、监视云存储的批量访问、保护备份以及演练勒索软件和勒索响应计划。
