Een tiener die ervan wordt beschuldigd lid te zijn van de hackgroep Verspreide spin is door Finland uitgeleverd vanwege Amerikaanse beschuldigingen van samenzwering, computerinbraak en fraude, zo maakte het Amerikaanse ministerie van Justitie op 1 juli bekend.
Peter StokesDe 19-jarige, zowel Amerikaans als Ests staatsburger, verscheen op 30 juni voor een federale rechtbank in Chicago, waar een rechter hem in hechtenis beval.
De Finse politie arresteerde hem in april op basis van een Interpol Red Notice, een internationaal arrestatieverzoek, vóór zijn uitlevering eind juni. Zijn zaak is de laatste in een reeks arrestaties gericht tegen een bemanning die betrokken is bij inbreuken op casino’s, detailhandelaren en luchtvaartmaatschappijen.
In gerechtsdocumenten wordt Stokes geïdentificeerd met de online-naam ‘Bouquet’ en worden ten minste vier inbraken beschreven, de eerste toen hij 16 was. In één geval, in mei 2025, zeggen aanklagers dat hij en anderen inbraken in een luxe juwelier, de gegevens ervan kopieerden en ongeveer $ 8 miljoen aan cryptocurrency eisten.
De winkelier weigerde te betalen, zette de indringers uit en besteedde minstens 2 miljoen dollar aan opruimen. Volgens deze gegevens hebben Finse agenten twee harde schijven van 2 terabyte in beslag genomen toen ze Stokes op de luchthaven van Helsinki aanhielden terwijl hij probeerde aan boord te gaan van een vlucht naar Japan.
Wie is de verspreide spin
Scattered Spider is geen traditionele bende. Het is een losse, voornamelijk Engelssprekende groep jonge mensen, waaronder veel tieners, verspreid over de VS, Groot-Brittannië en Europa.
Beveiligingsbedrijven volgen het ook onder de namen Octo Tempest, UNC3944 en 0ktapus. De belangrijkste truc is eenvoudig en moeilijk te stoppen. In plaats van software kapot te maken, houdt het mensen voor de gek.
Leden bellen de IT-helpdesk van een bedrijf, doen zich voor als een werknemer die is buitengesloten en overtuigen het personeel om een wachtwoord opnieuw in te stellen of een login goed te keuren. Eenmaal binnen stelen ze bestanden en dreigen ze deze te lekken tenzij ze worden betaald.
De groep is vooral bekend vanwege de aanvallen op MGM Resorts en Caesars Entertainment in 2023, waarbij de casino- en hotelsystemen van MGM werden stilgelegd. Tot en met 2025 was het gekoppeld aan aanvallen op Britse retailers, waaronder Marks & Spencer, Harrods en Co-op, vervolgens op Amerikaanse verzekeraars en later op luchtvaartmaatschappijen, een patroon dat volgens veiligheidsonderzoekers sector voor sector bestrijkt.
Assistent-procureur-generaal A. Tysen Duva zei dat de groep betrokken is geweest bij “meer dan 100 netwerkinbraken, resulterend in meer dan $ 100 miljoen aan losgeldbetalingen.”
Onderdeel van een bredere repressie
Stokes maakt deel uit van een bredere verschuiving in het Scattered Spider-verhaal: de politie geeft namen, landen en rechtsdata aan een team dat lange tijd als aanspreekpunt fungeerde in chatrooms. Recente gevallen zijn onder meer:
- Tyler Buchanan, een 24-jarige uit Schotland, die ooit werd omschreven als een leider, bekende in april 2026 voor een Amerikaanse rechtbank schuldig te zijn aan fraude en identiteitsdiefstal. Hij gaf toe dat hij minstens 8 miljoen dollar aan cryptocurrency had gestolen via phishingcampagnes die bedrijven als Twilio en LastPass raakten, en riskeert een wettelijke gevangenisstraf van 22 jaar.
- Noah Urban, een lid uit Florida, werd in augustus 2025 veroordeeld tot 10 jaar en moest ongeveer $ 13 miljoen terugbetalen.
- Thalha Jubair en Owen Flowers, twee jonge mannen uit Groot-Brittannië, pleitten in juni 2026 schuldig aan een aanval in 2024 op Transport for London, het transportbedrijf van de hoofdstad. Flowers gaf ook toe dat ze samenzweerden om twee Amerikaanse gezondheidszorgsystemen, SSM Health en Sutter Health, te hacken.
Hoe bedrijven zich kunnen verdedigen
Het draaiboek heeft de arrestaties overleefd. Mandiant rapporteerde een stilte in het aantal aanvallen op de groep na de arrestaties van 2025, en waarschuwde vervolgens dat andere bemanningen dit al kopiëren.
Het zwakke punt is de helpdesk, niet de firewall, dus de oplossingen die standhouden zijn strengere identiteitscontroles vóór een reset en inlogsleutels die phishing niet kan stelen.
Een gezamenlijk Amerikaans en internationaal adviesbureau voegt eraan toe dat de indringers, eenmaal binnen, vaak op de loer liggen in de chattools van een bedrijf en zich aansluiten bij de oproepen die het bedrijf houdt om op de inbreuk te reageren, waarbij ze kijken wie er op hen jaagt.
Voor onderzoekers kunnen de in beslag genomen schijven in Helsinki net zo belangrijk zijn als de aanklachten: apparaten die van het ene lid zijn afgenomen, leiden vaak naar andere. Stokes wordt verondersteld onschuldig te zijn, en zijn zaak moet nog voor de rechter komen, maar het afgelopen jaar heeft één ding duidelijk gemaakt: jong zijn, verspreid over de grenzen en goed in praten langs een helpdesk houdt deze ploeg niet langer buiten de rechtbank.