Home / News / Identificatore Windows 11 aiuta l’FBI a collegare un sospetto ad attacchi ransomware

Identificatore Windows 11 aiuta l’FBI a collegare un sospetto ad attacchi ransomware

Un identificativo interno di Windows, il Global Device Identifier (GDID), è stato impiegato nell’ambito di un’indagine dell’FBI per collegare un computer a una serie di attacchi ransomware attribuiti al gruppo Scattered Spider.

Identificatore Windows 11 aiuta l'FBI a collegare un sospetto ad attacchi ransomware

Un recente caso giudiziario negli Stati Uniti dimostra come uno dei dati raccolti dal sistema operativo possa assumere anche un ruolo investigativo: il Global Device Identifier (GDID) di Windows ha contribuito a collegare un computer a una serie di attacchi informatici attribuiti al gruppo cybercriminale Scattered Spider. Il Dipartimento di Giustizia degli Stati Uniti ha annunciato l’arresto e l’estradizione dalla Finlandia del diciannovenne Peter Stokes, cittadino statunitense ed estone, accusato di cospirazione, frode informatica e accesso abusivo a sistemi.

Secondo l’accusa, il giovane avrebbe fatto parte di Scattered Spider, organizzazione nota anche con i nomi Octo Tempest, UNC3944 e 0ktapus, ritenuta responsabile di oltre 100 intrusioni informatiche e richieste di riscatto superiori ai 100 milioni di dollari complessivi.

L’indagine si è concentrata, tra gli altri episodi, su un attacco avvenuto nel maggio 2025 ai danni di un rivenditore di gioielli di lusso. Gli aggressori avrebbero contattato telefonicamente il servizio di assistenza IT dell’azienda fingendosi dipendenti, convincendo il personale a reimpostare le credenziali di accesso. Ottenuti tre account, di cui due con privilegi amministrativi, il gruppo ha sottratto dati sensibili e avanzato una richiesta di riscatto di circa 8 milioni di dollari in criptovalute.

L’azienda non ha pagato, ma ha comunque subito danni stimati in almeno 2 milioni di dollari tra interruzione delle attività, indagini e operazioni di ripristino.

Uno degli elementi tecnici utilizzati dagli investigatori è stato il Global Device Identifier (GDID), un identificativo associato a ogni installazione di Windows. Questo codice, generato a partire da alcune caratteristiche hardware del sistema, viene utilizzato anche dal meccanismo di attivazione della licenza di Windows: modifiche sostanziali alla configurazione del PC possono infatti determinare la generazione di un nuovo identificatore e richiedere una nuova attivazione del sistema operativo.

Secondo i documenti dell’accusa, il GDID è stato rilevato nei log di autenticazione, nelle comunicazioni con servizi cloud e nei metadati raccolti durante le attività attribuite agli aggressori. La presenza dello stesso identificatore in connessioni verso server remoti, infrastrutture di comando e controllo e sistemi compromessi ha consentito agli investigatori di ricondurre operazioni apparentemente scollegate alla medesima installazione di Windows.

Le autorità sostengono che Stokes abbia tentato di mascherare la propria identità per mezzo di una VPN e creando un account sul servizio di tunneling ngrok, pensato per nascondere l’origine del traffico di rete. Tali misure non sono state però sufficienti a occultare il GDID.

In seguito a un ordine del tribunale, Microsoft ha fornito l’identificatore alle autorità, le quali lo hanno incrociato con i registri temporali di ngrok, gli indirizzi IP osservati tra Tallinn, New York e Thailandia e gli accessi ad account personali, tra cui Snapchat, Apple e Facebook.

Gli investigatori affermano inoltre che, durante il fermo avvenuto all’aeroporto di Helsinki lo scorso aprile – il diciannovenne stava per imbarcarsi su un volo diretto in Giappone – sono stati sequestrati due hard disk contenenti materiale ritenuto rilevante per l’inchiesta. L’analisi forense ha confermato la corrispondenza tra il GDID presente nei log remoti e quello del computer fisicamente sequestrato, oltre alla presenza di strumenti di hacking, configurazioni utilizzate negli attacchi e copie dei ransomware impiegati.

L’inchiesta evidenzia come il GDID rappresenti soltanto uno dei numerosi elementi utilizzati per costruire il quadro probatorio. Gli investigatori sottolineano infatti di aver combinato l’identificatore di Windows con indirizzi IP, registri dei servizi utilizzati, dati provenienti dai server compromessi e altre evidenze digitali.

Va infine ricordato che le accuse formulate nei confronti di Peter Stokes rappresentano, allo stato attuale, contestazioni dell’accusa. Come precisato dallo stesso Dipartimento di Giustizia statunitense, l’imputato deve essere considerato innocente fino a un’eventuale condanna definitiva pronunciata da un tribunale.