Identificador de Instalação do Windows Revela Membro do Grupo Scattered Spider
Um detalhe crucial em um caso judicial revelou como as autoridades rastrearam um suspeito ligado ao grupo de hackers Scattered Spider. O Windows Global Device Identifier (GDID) foi a chave para conectar um dispositivo a um ataque cibernético, um serviço VPN e contas pessoais.
MundiX News·10 de julho de 2026·6 min de leitura·👁 1 views
Um detalhe intrigante foi descoberto nos autos do processo contra Peter Stokes, de 19 anos, que as autoridades americanas associam ao grupo de hackers Scattered Spider. Os investigadores identificaram o suspeito graças ao Microsoft Windows Global Device Identifier (GDID) — um identificador persistente de instalação do Windows que ajudou a vincular o dispositivo a um ataque cibernético, a um serviço VPN e às contas pessoais de Stokes.
O caso em questão envolve um ataque a um vendedor não identificado de joias e artigos de luxo, ocorrido em maio de 2025. De acordo com a investigação, membros do Scattered Spider ligaram para o suporte de TI da empresa usando o Google Voice, apresentando-se como funcionários que haviam perdido o acesso às suas contas. Os hackers convenceram os operadores a redefinir senhas e também a desvincular dispositivos móveis usados para autenticação de dois fatores (2FA).
Como resultado, em poucas horas, os atacantes obtiveram o controle de três contas, incluindo as de dois administradores de TI. Em seguida, instalaram o ngrok e o Teleport, fizeram upload de pelo menos 77 GB de dados para a nuvem da Amazon e tentaram implantar um ransomware na rede da empresa. A equipe de segurança da organização conseguiu bloquear o ataque antes que a criptografia começasse e impediu o acesso dos hackers. No entanto, os criminosos exigiram US$ 8 milhões em criptomoeda da empresa, ameaçando publicar os dados roubados. A organização afetada recusou-se a pagar o resgate, mas o tempo de inatividade, a recuperação da infraestrutura e a remediação custaram mais de US$ 2 milhões.
De acordo com documentos judiciais, a polícia conseguiu rastrear Stokes graças a uma conta ngrok criada durante o ataque. Em 12 de maio de 2025, às 19:21, a página de registro do ngrok foi acessada em um dispositivo com o GDID g:6755467234350028, e uma nova conta foi criada no mesmo minuto. Aproximadamente três horas depois, um computador com o mesmo GDID acessou o site da empresa vítima através do serviço VPN Tzulo.
A documentação da Microsoft descreve o Global Device Identifier como um ID persistente para uma instalação específica do Windows. Este ID é mantido após atualizações do sistema operacional e só muda quando o sistema é reinstalado. O identificador é utilizado por vários serviços do Windows, e os dados associados a ele são armazenados na infraestrutura da Microsoft.
Os investigadores correlacionaram os dados do GDID com endereços IP de onde emanava a atividade de contas do Snapchat, Apple e Facebook, supostamente pertencentes a Stokes. As correspondências foram registradas em Tallinn, onde o suspeito residia, bem como em Nova York e na Tailândia (esses deslocamentos foram confirmados por dados de viagens de Stokes obtidos do Departamento de Estado dos EUA).
Como noticiado anteriormente, Stokes foi detido na primavera de 2026 no aeroporto de Helsinque enquanto se preparava para voar para o Japão. Posteriormente, ele foi extraditado para os Estados Unidos, onde foi acusado de fraude, conspiração e invasão de sistemas computacionais, relacionados à extorsão de milhões de dólares de grandes empresas. Agora, a promotoria terá que provar a culpa de Stokes em tribunal.
É importante lembrar que o grupo de hackers Scattered Spider (também conhecido como 0ktapus, Octo Tempest, Scatter Swine, UNC3944 e Muddled Libra) surgiu em 2022. Não se trata de um grupo de hackers comum no sentido tradicional, mas sim de uma comunidade de língua inglesa composta principalmente por adolescentes e jovens dos EUA, Reino Unido e vários países europeus. Pesquisadores da Group-IB observam que prisões individuais dificilmente deterão os ataques do grupo. O conteúdo dos dispositivos apreendidos com Stokes pode ser mais significativo se contiver contatos, dados relacionados à infraestrutura do Scattered Spider ou ferramentas de outros membros do grupo.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Um detalhe intrigante foi descoberto nos autos do processo contra Peter Stokes, de 19 anos, que as autoridades americanas associam ao grupo de hackers Scattered Spider. Os investigadores identificaram o suspeito graças ao Microsoft Windows Global Device Identifier (GDID) — um identificador persistente de instalação do Windows que ajudou a vincular o dispositivo a um ataque cibernético, a um serviço VPN e às contas pessoais de Stokes.
O caso em questão envolve um ataque a um vendedor não identificado de joias e artigos de luxo, ocorrido em maio de 2025. De acordo com a investigação, membros do Scattered Spider ligaram para o suporte de TI da empresa usando o Google Voice, apresentando-se como funcionários que haviam perdido o acesso às suas contas. Os hackers convenceram os operadores a redefinir senhas e também a desvincular dispositivos móveis usados para autenticação de dois fatores (2FA).
Como resultado, em poucas horas, os atacantes obtiveram o controle de três contas, incluindo as de dois administradores de TI. Em seguida, instalaram o ngrok e o Teleport, fizeram upload de pelo menos 77 GB de dados para a nuvem da Amazon e tentaram implantar um ransomware na rede da empresa. A equipe de segurança da organização conseguiu bloquear o ataque antes que a criptografia começasse e impediu o acesso dos hackers. No entanto, os criminosos exigiram US$ 8 milhões em criptomoeda da empresa, ameaçando publicar os dados roubados. A organização afetada recusou-se a pagar o resgate, mas o tempo de inatividade, a recuperação da infraestrutura e a remediação custaram mais de US$ 2 milhões.
De acordo com documentos judiciais, a polícia conseguiu rastrear Stokes graças a uma conta ngrok criada durante o ataque. Em 12 de maio de 2025, às 19:21, a página de registro do ngrok foi acessada em um dispositivo com o GDID g:6755467234350028, e uma nova conta foi criada no mesmo minuto. Aproximadamente três horas depois, um computador com o mesmo GDID acessou o site da empresa vítima através do serviço VPN Tzulo.
A documentação da Microsoft descreve o Global Device Identifier como um ID persistente para uma instalação específica do Windows. Este ID é mantido após atualizações do sistema operacional e só muda quando o sistema é reinstalado. O identificador é utilizado por vários serviços do Windows, e os dados associados a ele são armazenados na infraestrutura da Microsoft.
Os investigadores correlacionaram os dados do GDID com endereços IP de onde emanava a atividade de contas do Snapchat, Apple e Facebook, supostamente pertencentes a Stokes. As correspondências foram registradas em Tallinn, onde o suspeito residia, bem como em Nova York e na Tailândia (esses deslocamentos foram confirmados por dados de viagens de Stokes obtidos do Departamento de Estado dos EUA).
Como noticiado anteriormente, Stokes foi detido na primavera de 2026 no aeroporto de Helsinque enquanto se preparava para voar para o Japão. Posteriormente, ele foi extraditado para os Estados Unidos, onde foi acusado de fraude, conspiração e invasão de sistemas computacionais, relacionados à extorsão de milhões de dólares de grandes empresas. Agora, a promotoria terá que provar a culpa de Stokes em tribunal.
É importante lembrar que o grupo de hackers Scattered Spider (também conhecido como 0ktapus, Octo Tempest, Scatter Swine, UNC3944 e Muddled Libra) surgiu em 2022. Não se trata de um grupo de hackers comum no sentido tradicional, mas sim de uma comunidade de língua inglesa composta principalmente por adolescentes e jovens dos EUA, Reino Unido e vários países europeus. Pesquisadores da Group-IB observam que prisões individuais dificilmente deterão os ataques do grupo. O conteúdo dos dispositivos apreendidos com Stokes pode ser mais significativo se contiver contatos, dados relacionados à infraestrutura do Scattered Spider ou ferramentas de outros membros do grupo.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.