Secondo Cointelegraph, i procuratori degli Stati Uniti hanno incriminato cinque individui accusati di aver partecipato a un piano che avrebbe hackerato numerose aziende e individui, con conseguente furto di 11 milioni di dollari in criptovaluta e informazioni sensibili. L'ufficio del procuratore degli Stati Uniti della California ha annunciato il 20 novembre che gli imputati hanno utilizzato link di phishing SMS e tecniche di scambio SIM per accedere alle credenziali di accesso di individui e dipendenti di alcune aziende, prendendo di mira i loro account di lavoro o di scambio di criptovaluta.
Documenti di tribunale esaminati da Cointelegraph hanno rivelato almeno 29 presunti vittime di furti di criptovalute individuali. I pubblici ministeri hanno evidenziato un caso in cui una vittima ha perso oltre 6,3 milioni di dollari in criptovalute dopo che la sua email e i suoi portafogli sono stati compromessi. Gli investigatori hanno riferito che il gruppo ha preso di mira 45 aziende negli Stati Uniti, in Canada, in India e nel Regno Unito. Tra queste c'era un'agenzia di cambio cripto statunitense non nominata, i cui dipendenti hanno ricevuto messaggi di testo fraudolenti che affermavano che i loro conti sarebbero stati disattivati, portandoli a link di phishing progettati per estrarre credenziali sensibili.
Martin Estrada, il procuratore degli Stati Uniti a Los Angeles, ha dichiarato: "Sosteniamo che questo gruppo di cybercriminali abbia perpetrato uno schema sofisticato per rubare proprietà intellettuale e informazioni riservate del valore di decine di milioni di dollari e rubare informazioni personali appartenenti a centinaia di migliaia di individui." Gli imputati sono apparentemente membri del gruppo di hacker Scattered Spider, che i pubblici ministeri sostengono abbia operato da settembre 2021 ad aprile 2023. Gli accusati includono Ahmed Elbadawy, 23 anni, dal Texas; Noah Urban, 20 anni, dalla Florida; Evans Osiebo, 20 anni, da Dallas; Joel Evans, 25 anni, dalla Carolina del Nord; e Tyler Buchanan, 22 anni, dalla Scozia.
Ogni imputato affronta accuse di cospirazione, cospirazione per commettere frode telematica e furto di identità aggravato, con Buchanan che affronta un'accusa aggiuntiva di frode telematica. Le sole accuse relative alla frode comportano una pena massima potenziale di 20 anni di carcere. Lo scorso novembre, Reuters ha riferito che l'FBI ha avuto difficoltà a fermare Scattered Spider, che è stato collegato agli attacchi di settembre 2023 a Caesars Entertainment e ai casinò MGM, nonostante conoscesse le identità e le posizioni dei membri del gruppo negli Stati Uniti. Rimane poco chiaro se i cinque accusati fossero coinvolti negli attacchi ai casinò, ma i documenti di tribunale fanno riferimento a "altri co-cospiratori" e a un "co-cospiratore non accusato", suggerendo che altri potrebbero essere implicati in crimini non ancora divulgati pubblicamente.
Gli investigatori, tra cui l'FBI e la Polizia della Scozia, hanno tracciato Buchanan attraverso le informazioni che ha fornito per registrare siti di phishing utilizzati nelle presunte truffe. Una perquisizione dei dispositivi di Buchanan ha rivelato dati provenienti da un'agenzia di cambio cripto statunitense e da una compagnia telefonica statunitense. Le informazioni sulla rappresentanza legale per ciascun imputato non erano immediatamente disponibili.