Windows, Telemetrie

Windows 11 Telemetrie: Wie Microsoft einen Top-Hacker enttarnte

06.07.2026 - 09:44:53 | boerse-global.de

Ein 19-Jähriger wurde dank Windows 11-Daten als mutmaßlicher Drahtzieher der Erpresserbande Scattered Spider identifiziert und festgenommen.

Windows 11 Telemetrie enttarnt Scattered Spider Hacker
Windows - Verschwommene Gestalt in Kapuzenjacke tippt auf Laptop, umgeben von leuchtenden Codezeilen und Datenströmen, symbolisiert Cyberkriminalität und Ermittlung. 06.07.2026 - Bild: über boerse-global.de

Ein junger Mann mit doppelter Staatsbürgerschaft soll einer der Drahtzieher der berüchtigten Scattered-Spider-Gruppe sein. Die Anklage stützt sich auf Daten, die Microsofts Betriebssystem heimlich sammelt.

Der 19-jährige Peter Stokes, der sowohl die US-amerikanische als auch die estnische Staatsbürgerschaft besitzt, wurde an die USA ausgeliefert. Am 30. Juni erschien er vor einem Bundesgericht in Chicago. Die Anklage wirft ihm Mitgliedschaft in der Cyber-Erpresserbande Scattered Spider vor – einer Gruppe, die für über 100 Netzwerkeinbrüche und erpresste Lösegelder in Höhe von mehr als 100 Millionen Dollar verantwortlich sein soll.

Windows 11 verriet den Hacker

Die Ermittler verdanken ihren Durchbruch einer ungewöhnlichen Quelle: der Telemetrie von Windows 11. Microsoft teilte dem FBI umfassende Daten mit, darunter die sogenannte Global Device Identifier (GDID) – eine eindeutige Kennung, die jedes Gerät identifiziert. Die gesammelten Informationen umfassten IP-Adressen, Protokolle genutzter Werkzeuge und Azure-Statusdaten.

Diese technischen Spuren erlaubten es den Fahndern, Stokes' Aktivitäten über mehrere Länder hinweg nachzuverfolgen – von Tallinn über New York bis nach Thailand. Ergänzt wurden die Daten durch Logs von Snapchat, Apple und Facebook. Das Puzzle fügte sich zusammen: Der junge Mann hinter den digitalen Angriffen war enttarnt.

Festnahme am Flughafen Helsinki

Konkret wird Stokes ein Angriff auf einen US-amerikanischen Luxus-Juwelier im Mai 2025 vorgeworfen. Die Täter forderten damals acht Millionen Dollar Lösegeld. Zwar wurde die volle Summe offenbar nicht gezahlt, doch der Juwelier erlitt Schäden in Höhe von rund zwei Millionen Dollar durch den Einbruch.

Anzeige

Der Fall Scattered Spider zeigt: Windows 11 Telemetrie kann Hacker enttarnen, aber auch Ihre sensiblen Unternehmensdaten preisgeben. Erfahren Sie in diesem Report, wie Sie Telemetrie-Einstellungen optimieren, einen Notfallplan bei Ransomware umsetzen und sich vor autonomen KI-Angriffen schützen. Jetzt kostenlosen Sicherheits-Report anfordern

Am 10. April 2026 schlugen die Behörden zu: Stokes wurde am Flughafen Helsinki festgenommen – offenbar auf dem Weg nach Japan. Das FBI und die finnische Nationale Ermittlungsbehörde (NBI) waren beteiligt. Bei seiner Festnahme trug der 19-Jährige zwei Festplatten bei sich, die belastendes Material enthielten.

Operation Riptide: Jagd auf eine Hacker-Gruppe

Die Festnahme ist ein Meilenstein der Operation Riptide, einer konzertierten Aktion mehrerer Behörden gegen Scattered Spider. Die Gruppe hatte unter anderem 2024 die Londoner Verkehrsbetriebe Transport for London attackiert. Insgesamt sollen die Erpresser mehr als 100 Millionen Dollar von ihren Opfern erpresst haben.

Stokes muss sich nun wegen Verschwörung, Cyber-Einbruch und Betrug verantworten. Der Fall zeigt, wie Strafverfolger zunehmend Hardware-Telemetrie nutzen, um selbst gut getarnte Kriminelle zu stellen.

Neue Gefahren: KI-Angriffe und Datenvernichter

Anzeige

Autonome KI-Ransomware wie JadePuffer greift bereits ohne menschliches Zutun an – Ihr Unternehmen muss jetzt handeln. Dieser Report liefert konkrete Maßnahmen gegen KI-gesteuerte Erpressung und zeigt, wie Sie Datenvernichter wie VECT 2.0 abwehren. KI-Ransomware-Schutz jetzt sichern

Während die Ermittlungen gegen Scattered Spider traditionelle Erpressungsmethoden beleuchten, warnen Sicherheitsexperten vor neuen Entwicklungen. Ein als JadePuffer bekannter Ransomware-Angriff wurde kürzlich vollständig von einer autonomen KI durchgeführt – ohne menschliches Eingreifen. Die Malware nutzte eine Schwachstelle in der Plattform Langflow aus und verschlüsselte 1.342 Konfigurationselemente.

Parallel dazu verbreitet sich die Schadsoftware VECT 2.0, die als sogenannter Wiper fungiert. Anders als klassische Erpressungs-Trojaner zerstört sie Daten unwiderruflich: Dateien über 131 Kilobyte werden so beschädigt, dass selbst die Angreifer sie nicht wiederherstellen können – selbst wenn das Lösegeld gezahlt wird.

de | wissenschaft | 69702871 |