En 19-årig med amerikansk-estisk pas er blevet udleveret fra Finland til Chicago, hvor han skal svare på anklager om medlemskab af hackergruppen Scattered Spider.
Peter Stokes blev anholdt i Helsinki i april 2026, da han forsøgte at gå om bord på et fly til Japan. Finsk politi handlede på en international eftersøgning fra Interpol og beslaglagde to harddiske på hver 2 terabyte, inden han i sidste uge blev overført til USA.
I denne uge blev han fremstillet for en føderal dommer i Chicago, der ifølge det amerikanske justitsministerium besluttede at varetægtsfængsle ham frem til retssagen. Han er tiltalt for sammensværgelse, computerindbrud og bedrageri.
Anklageskriftet beskriver, at Stokes skal have været involveret i mindst fire indbrud, det første da han var 16 år. I maj 2025 brød han og medgerningsmænd ind hos en luksusguldsmed og krævede omkring 8 millioner dollar, cirka 55 millioner kroner, i kryptovaluta. Virksomheden nægtede at betale, men brugte efter myndighedernes opgørelse mindst 2 millioner dollar på oprydning.
En løs gruppe af teenagere
Scattered Spider er ikke en traditionel kriminel organisation. Gruppen er et løst netværk af overvejende engelsktalende unge fra USA, Storbritannien og Europa, mange af dem teenagere. Sikkerhedsfirmaer sporer den også under navnene Octo Tempest, UNC3944 og 0ktapus.
Gruppen står bag nogle af de mest opsigtsvækkende angreb de senere år, herunder nedlukningen af MGM Resorts og Caesars Entertainment i Las Vegas i september 2023. Ifølge det amerikanske justitsministerium har Scattered Spider siden 2022 stået bag over 100 netværksindbrud og afpresset mere end 100 millioner dollar, svarende til over 700 millioner kroner, fra virksomheder verden over.
“Scattered Spider har gentagne gange gået målrettet efter amerikanske virksomheder, afpresset medarbejdere, forvoldt tab i millionklassen og forstyrret livsvigtige funktioner,” siger Brett Leatherman, assisterende direktør i FBI’s cyberafdeling, i en udtalelse fra justitsministeriet.
Ringer til it-supporten og udgiver sig for medarbejder
Gruppens foretrukne metode er ikke tekniske sikkerhedshuller, men manipulation af mennesker. I sagen mod Stokes fremgår det, at gerningsmændene ringede til den ramte virksomheds it-helpdesk og udgav sig for at være ansatte for at få nulstillet adgangskoder og få adgang til administratorkonti, ifølge BleepingComputer.
Den amerikanske cybersikkerhedsmyndighed CISA og FBI beskriver i deres fælles varsel om gruppen, at Scattered Spider ofte kombinerer flere teknikker: opkald til helpdesk med falsk identitet, såkaldt MFA-bombing, hvor offeret oversvømmes med login-bekræftelser i håb om at trykke godkend i ren træthed, samt SIM-swap, hvor kriminelle får telefonselskabet til at flytte offerets mobilnummer over på et nyt SIM-kort.
Sådan kan du beskytte dig
CISA anbefaler både virksomheder og private at bruge såkaldt phishing-resistent flerfaktor-godkendelse, altså en to-trinsbekræftelse der ikke kan snydes med falske login-beskeder. I praksis betyder det fysiske sikkerhedsnøgler eller passkeys efter FIDO/WebAuthn-standarden i stedet for engangskoder på sms.
For helpdesks lyder anbefalingen på faste procedurer og mindst to uafhængige verifikationstjek, hvoraf mindst det ene ikke kan omgås ved at efterligne en stemme. Og for den enkelte bruger gælder, at man aldrig skal godkende en pushbesked man ikke selv har udløst, uanset hvor mange gange telefonen bipper.
Peter Stokes står nu over for op til flere årtiers fængsel, hvis han bliver kendt skyldig. Sagen kører ved den føderale domstol i det nordlige Illinois.