Según Cointelegraph, la fiscalía estadounidense ha imputado a cinco personas por participar en un plan que presuntamente hackeó a numerosas empresas y particulares, lo que resultó en el robo de 11 millones de dólares en criptomonedas e información confidencial. La Fiscalía de California anunció el 20 de noviembre que los acusados emplearon enlaces de phishing por SMS y técnicas de intercambio de tarjetas SIM para acceder a las credenciales de inicio de sesión de particulares y empleados de ciertas empresas, atacando sus cuentas laborales o de intercambio de criptomonedas.
Documentos judiciales revisados por Cointelegraph revelaron al menos 29 presuntas víctimas de robos individuales de criptomonedas. La fiscalía destacó un caso en el que una víctima perdió más de 6,3 millones de dólares en criptomonedas tras verse comprometidos su correo electrónico y su billetera. Los investigadores informaron que el grupo tenía como objetivo a 45 empresas en Estados Unidos, Canadá, India y el Reino Unido. Entre ellas se encontraba una plataforma de intercambio de criptomonedas estadounidense anónima, cuyos empleados recibieron mensajes de texto fraudulentos que les anunciaban la desactivación de sus cuentas, lo que les condujo a enlaces de phishing diseñados para extraer credenciales confidenciales.
Martin Estrada, fiscal federal en Los Ángeles, declaró: «Alegamos que este grupo de ciberdelincuentes perpetró un sofisticado plan para robar propiedad intelectual e información confidencial valorada en decenas de millones de dólares, así como información personal de cientos de miles de personas». Según informes, los acusados son miembros del grupo de hackers Scattered Spider, que, según la fiscalía, operó desde aproximadamente septiembre de 2021 hasta abril de 2023. Entre los acusados se encuentran Ahmed Elbadawy, de 23 años, de Texas; Noah Urban, de 20 años, de Florida; Evans Osiebo, de 20 años, de Dallas; Joel Evans, de 25 años, de Carolina del Norte; y Tyler Buchanan, de 22 años, de Escocia.
Cada acusado enfrenta cargos de conspiración, conspiración para cometer fraude electrónico y robo de identidad agravado, y Buchanan enfrenta un cargo adicional de fraude electrónico. Los cargos relacionados con el fraude por sí solos conllevan una posible pena máxima de 20 años de prisión. En noviembre pasado, Reuters informó que el FBI tuvo dificultades para detener a Scattered Spider, vinculado a los ataques informáticos de septiembre de 2023 a los casinos Caesars Entertainment y MGM, a pesar de conocer la identidad y ubicación de los miembros del grupo en Estados Unidos. Aún no está claro si los cinco acusados participaron en los ataques informáticos a los casinos, pero los documentos judiciales hacen referencia a "otros cómplices" y a un "cómplice no acusado", lo que sugiere que otros podrían estar implicados en delitos aún no revelados públicamente.
Investigadores, incluyendo al FBI y la Policía de Escocia, rastrearon a Buchanan a través de la información que proporcionó para registrar los sitios de phishing utilizados en las presuntas estafas. Una búsqueda en los dispositivos de Buchanan reveló datos de una plataforma de intercambio de criptomonedas y una compañía de telecomunicaciones estadounidense. La información sobre la representación legal de cada acusado no estuvo disponible de inmediato.