Министерство юстиции США, Федеральное бюро расследований (ФБР) и Национальное бюро расследований Финляндии недавно начали совместную операцию и успешно арестовали 19-летнего мужчину, подозреваемого в участии в одной из крупнейших в мире группировок киберпреступников, в аэропорту Хельсинки в Финляндии. Согласно данным, раскрытым Министерством юстиции США, хакерская группа под названием Scattered Spider ранее вымогала более 100 миллионов долларов в качестве выкупа посредством атак с помощью программ-вымогателей.

На этот раз арестованного подозреваемого зовут Питер Стоукс, который имеет двойное гражданство США и Эстонии. В момент инцидента он пытался сесть на рейс в Японию в Хельсинки, но перед посадкой в ​​самолет был перехвачен сотрудниками правоохранительных органов. Полиция обнаружила большое количество крайне компрометирующих улик на двух жестких дисках, которые он носил с собой.

Непосредственным триггером, который привел к аресту Стоукса, стала кибератака, предпринятая группой на ювелира класса люкс в США в мае 2025 года. Тогда злоумышленник использовал Google Voice, чтобы позвонить в службу ИТ-поддержки ювелира, притворившись сотрудником компании, и успешно обманом заставил технического специалиста сбросить учетные данные. Этот шаг привел к компрометации трех корпоративных учетных записей, две из которых также имели права администратора. Впоследствии члены банды, в том числе Стоукс, украли важные данные, зашифровали их и вымогали у ювелира криптовалюту на сумму 8 миллионов долларов. Хотя ювелир в конечном итоге восстановил контроль над системой и отказался платить выкуп, длительный сбой в работе бизнеса привел к операционным убыткам примерно в 2 миллиона долларов. Это также побудило прокуроров и сотрудников правоохранительных органов начать отслеживать улики и начать трансграничное отслеживание.

В ходе расследования дела ключевую помощь оказывал технологический гигант Microsoft. Microsoft предоставила ФБР данные так называемого «глобального идентификатора устройства» (GDID). GDID — это уникальный идентификационный номер, присваиваемый каждому устройству с установленной Windows и используемый для отслеживания данных телеметрии с конкретного устройства. Судебные документы показывают, что Стоукс использовал систему Windows 11 во время преступления. Именно с помощью этой подписи следователи успешно связали его физические устройства с конкретными сетевыми действиями и географическими местоположениями. Данные, предоставленные Microsoft, открыли временную шкалу и подробно записали важные подсказки, такие как сетевая активность Стоукса, история онлайн-игр, IP-адрес, использование инструментов (включая Ngrok) и статус Azure.

Фактически, еще в 2024 году правоохранительные органы уже знали истинную личность Стоукса. Однако, поскольку на тот момент он был еще несовершеннолетним и долгое время жил между Эстонией и Объединенными Арабскими Эмиратами, полиция предпочла тайно следить за ним и до этого момента не закрывала сеть. Официальное заявление о возбуждении уголовного дела также включало в себя ироническое вещественное доказательство: однажды Стоукс опубликовал в Snapchat селфи, на котором закрыл лицо десятками стодолларовых купюр. По обоям, ковру и стилю мебели на заднем плане фотографии полиция точно определила, что местом, где было сделано фото, был отель Empire в Нью-Йорке. Записи показывают, что он посетил официальный сайт отеля в Германии, а затем вылетел в Нью-Йорк.

Стоукса экстрадировали в США после ареста в Финляндии. 30 июня 2026 года он впервые предстал перед федеральным судом Чикаго. Стоукс все еще находится под стражей в полиции, и ему предъявлены обвинения в заговоре, кибервторжении и мошенничестве.