Selon Cointelegraph, les procureurs américains ont inculpé cinq individus accusés d’avoir participé à un stratagème qui aurait piraté de nombreuses entreprises et personnes, entraînant le vol de 11 millions de dollars en cryptomonnaie et d’informations sensibles. Le bureau du procureur américain de Californie a annoncé le 20 novembre que les accusés avaient utilisé des liens de phishing par SMS et des techniques d’échange de cartes SIM pour accéder aux identifiants de connexion des individus et des employés de certaines entreprises, ciblant leurs comptes professionnels ou d’échange de cryptomonnaies.
Des documents judiciaires examinés par Cointelegraph ont révélé au moins 29 victimes présumées de vols individuels de cryptomonnaies. Les procureurs ont mis en évidence un cas où une victime a perdu plus de 6,3 millions de dollars en cryptomonnaies après que son courrier électronique et ses portefeuilles ont été compromis. Les enquêteurs ont signalé que le groupe ciblait 45 entreprises aux États-Unis, au Canada, en Inde et au Royaume-Uni. Parmi celles-ci figurait une bourse de cryptomonnaies américaine anonyme, dont les employés ont reçu des SMS frauduleux affirmant que leurs comptes seraient désactivés, les conduisant à des liens de phishing conçus pour extraire des informations d'identification sensibles.
Martin Estrada, procureur américain à Los Angeles, a déclaré : « Nous accusons ce groupe de cybercriminels d'avoir perpétré un stratagème sophistiqué pour voler des propriétés intellectuelles et des informations confidentielles d'une valeur de plusieurs dizaines de millions de dollars et des informations personnelles appartenant à des centaines de milliers de personnes. » Les accusés seraient membres du groupe de piratage Scattered Spider, qui, selon les procureurs, aurait opéré de septembre 2021 à avril 2023. Parmi les accusés figurent Ahmed Elbadawy, 23 ans, du Texas ; Noah Urban, 20 ans, de Floride ; Evans Osiebo, 20 ans, de Dallas ; Joel Evans, 25 ans, de Caroline du Nord ; et Tyler Buchanan, 22 ans, d'Écosse.
Chaque accusé est accusé de complot, de complot en vue de commettre une fraude électronique et d'usurpation d'identité aggravée, Buchanan étant également accusé de fraude électronique. Les accusations liées à la fraude sont à elles seules passibles d'une peine maximale potentielle de 20 ans de prison. En novembre dernier, Reuters a rapporté que le FBI avait eu du mal à arrêter Scattered Spider, qui a été lié aux piratages de casinos Caesars Entertainment et MGM en septembre 2023, bien qu'il connaisse l'identité et l'emplacement des membres du groupe aux États-Unis. On ne sait pas encore si les cinq accusés étaient impliqués dans les piratages de casinos, mais les documents judiciaires font référence à « d'autres co-conspirateurs » et à un « co-conspirateur non inculpé », ce qui suggère que d'autres pourraient être impliqués dans des crimes non encore révélés publiquement.
Les enquêteurs, dont le FBI et la police écossaise, ont suivi Buchanan grâce aux informations qu’il a fournies pour enregistrer les sites de phishing utilisés dans les escroqueries présumées. Une recherche sur les appareils de Buchanan a permis de découvrir des données provenant d’une bourse de crypto-monnaies américaine et d’une société de télécommunications américaine. Les informations sur la représentation juridique de chaque accusé n’étaient pas immédiatement disponibles.