“我是個怪孩子”：一個少年加密黑客的監獄供詞

作者：MARgi Murphy

諾亞·厄本 (Noah Urban) 在臭名昭著的“Scattered SPIder”團伙中扮演的角色是勸說人們在不知情的情況下讓犯罪分子獲取敏感計算機系統的訪問權限。

2022 年 9 月的一個下午，在滿是金袋表情符號和小丑表情符號、充斥著“笑到快瘋了”（lmfaos）和“笑到不行”（loooools）的TELegram群聊中，出現了一張像素化的縮略圖，畫面是一名滿身是血的少​​年。 諾亞·厄本（Noah Urban）當時18歲，居住在佛羅里達州棕櫚海岸，他點開了視頻。

視頻中，這名少年哀求諾亞向他的綁匪轉賬20萬美元，綁匪正拿著槍對准他的頭。 “埃利亞（Elijah），真的兄弟，你知道我們以前一起幹活過，”少年說道，稱呼諾亞為他的一個化名。 他的臉腫脹，嘴裡滿是血，血滴到他穿著的白色 Hollister 衛衣上。 “你知道我一直支持你。只要告訴我，我會做任何你想讓我做的事。”

諾亞立刻認出了這個少年。 賈斯汀（Justin）曾為他工作，幫助他盜竊加密貨幣。 他雖然不知道賈斯汀的全名，但他知道自己不能向綁匪妥協。 此外，他認為，這段視頻可能是偽造的。 於是，他沒有轉賬任何資金。

這樣的片段可能會讓大多數青少年感到驚恐，但到2022年，諾亞已經見過太多類似的事情。 當時，他正在逃避聯邦調查局（FBI）的追捕，作為一個網絡犯罪團伙的成員，該團伙後來被稱為“Scattered Spider”（深潮注：也被稱為 UNC3944，是一個主要由青少年和年輕人組成的黑客組織，成員據信主要來自美國和英國。這個組織因其複雜的社會工程手段和網絡攻擊而聞名）MargiMurphy。 這個團伙已經成為全球最臭名昭著的網絡犯罪組織之一，與數十起針對美國和英國公司的攻擊有關。 其中最嚴重的包括：2023年對米高梅國際度假村（MGM Resorts International）的勒索軟件攻擊，該攻擊導致賭場的計算機系統癱瘓，給公司造成了 1 億美元的損失；以及今年早些時候對英國零售商 Marks & SPEncer Group Plc 的攻擊，預計將導致約 4 億美元的損失。

米高梅拉斯維加斯酒店和賭場。

攝影師：AaRONP/Getty Images

聯邦調查局和英國國家犯罪局已將“Scattered SPider”列為重點打擊目標。 美國網絡安全與基礎設施安全局（CISA）將該團伙描述為“對美國機構構成嚴重且持續威脅”。 網絡防禦公司Mandiant將其列為“影響歐洲和美國機構的最具侵略性和滲透性威脅行為者”之一。 去年，《60分鐘》節目還報導了“Scattered Spider”與俄羅斯勒索軟件黑客的聯繫。

諾亞在該團伙中扮演了關鍵角色，擔任“電話詐騙員”（caller）。 他的經歷是一則警示故事，講述了一名沒有多少技術能力的高中生如何從遊戲過渡到快速盜竊加密貨幣，再到通過電話詐騙進入電信和科技公司的計算機網絡以竊取敏感數據。 他在佛羅里達中部的一個中產家庭長大，小時候常穿著crocs涼鞋和衝浪短褲去釣魚，去鱷魚樂園（Gatorland）體驗高空滑索，或者到奧蘭多的環球影城遊玩——這些都是普通男孩的活動。 然而，隨著他的犯罪行為升級，虛擬世界的活動開始蔓延到現實世界。 綁架、火焰炸彈襲擊以及性勒索案件引起了執法部門的注意。 諾亞在網上結交的朋友如今面臨長期監禁。

這篇報導是通過法院文件、Discord上的對話以及Telegram消息整理而成，同時採訪了數十位威脅情報分析師、執法人員以及熟悉諾亞犯罪生涯的其他人士。 其中包括諾亞本人，他在佛羅里達州的一所監獄里通過幾十次電話與《彭博商業周刊》交談，並提出條件，要求在他被判刑之前不得報導這些對話。

“你好，我叫凱文（Kevin），我正在代表T-Mobile內部安全管理部門打電話。”

諾亞其實並不是真正的黑客。 他出生於2004年，也就是Facebook推出的那一年。 他喜歡游泳和橄欖球，而不是編程。 他有幾個朋友和一個高中的戀人，但大多數時候他獨來獨往，在課堂上也不怎麼參與。 “我是個怪孩子，”諾亞回憶道。 “我沒有很多朋友，所以我沒學到那種從與人交往中學到的社交暗示。”畢業後三年，他最喜歡的老師甚至不記得他。

諾亞8、9歲時開始玩《我的世界》（Minecraft），15歲時通過遊戲認識了一些人，並首次聽說了SIM卡交換（SIM-sWapping）騙局。 這種騙局涉及將某人的電話號碼轉移到你擁有的手機上，以便攔截安全代碼、接管他們的在線賬戶並轉移資金。 這種操作不需要任何編程技能，關鍵技能是社會工程學——說服或賄賂電信公司員工為你“激活”號碼。

諾亞很快展現了出色的談話能力，擁有一副與年齡不符的低沉嗓音，能夠欺騙受害者交出個人信息。 他還將自己的社交工程能力歸功於父母，“禮貌和尊重，這兩項是我小時候學到的最重要的東西，”他說。

通過《我的世界》認識的SIM交換團伙領導人，每次諾亞成功通過電話導致加密貨幣被盜，就支付他50美元。 他在第一周就賺了3000美元。

諾亞·厄本小時候的照片。

來源：Rob Urban

諾亞並不缺錢。 他的父母在他還是幼兒時就分開了，但生活都很舒適。 他的母親在奧蘭多北部一個封閉社區裡擁有一套房子，從事人力資源工作；他的父親是一名海軍退役軍人，經營一家在線營銷公司，在附近擁有一處帶泳池和按摩浴缸的住宅。

然而，SIM卡交換帶來的腎上腺素飆升，以及在現實生活中難以找到的友情，讓諾亞深深著迷。 “如果你在沃爾瑪旁邊排隊站著10個人，你可能不會找到很多與你合得來的人，”他說，“但如果你可以在線挑選你想要的朋友——大家都有共同的興趣愛好——那就特別容易相處。”

諾亞加入了一個由大約15名玩家組成的團體，其中包括來自俄勒岡州波特蘭的17歲少年丹尼爾·賈恩克（Daniel Junk）和來自蘇格蘭的另一名17歲少年泰勒·布坎南（Tyler Buchanan）。 諾亞說，他們購買了一份從加密錢包公司Ledger SAS盜取的數據庫，該數據庫提供了加密貨幣持有者及其電子郵件地址的名單。 下一步是進入這些電子郵件賬戶，他們開始尋找任何使用 Outlook、AOL 或 Yahoo！ 賬戶的人。 他們告訴諾亞，這些賬戶是最容易攻破的。

這些新朋友是所謂“COM”（社區）地下網絡的一部分，這個網絡廣泛分佈在Discord和Telegram上，匯集了許多年輕人，他們尋找珍貴的用戶名、視頻遊戲戰利品以及可以通過賬戶接管盜取的加密貨幣。 聯邦調查局（FBI）從2018年開始調查“Com”，據探員估計，到那時，該團體已經盜竊了5000萬美元。

隨著更多“Com”成員發現盜取加密貨幣的簡單性，對SIM卡交換的需求也隨之增加。 一些人猜測哪家電信公司，比如T-Mobile US Inc.或AT&T Inc.的呼叫中心支持承包商員工最容易被欺騙。 還有人僱傭孩子跑進手機店偷客戶代表的IPad。 為了取樂，竊賊們經常拍攝這些行為並上傳到網上。

攝影師：Jakub Porzycki/Getty Images

諾亞說，賈恩克發現了一種方法，可以通過將自己的個人電腦註冊到T-Mobile的企業網絡，並使用遠程訪問軟件進入公司的SIM卡激活工具，有時能夠持續數月。 當T-Mobile檢測到可疑登錄時，它會重置賬戶，將賈恩克鎖定在外。 因此，他開始付錢給諾亞，讓他撥打電話欺騙員工交出登錄信息。 諾亞假裝自己是信息技術部門的員工，成功騙取了登錄信息。

其他參與SIM交換的人會在Discord上監聽諾亞撥打電話的過程，同時玩《反恐精英》（Counter-Strike）或《使命召喚》（Call of Duty），並閱讀賈恩克為他編寫的腳本。 “你好，我叫凱文（Kevin），”腳本開頭寫道，“我正在代表T-Mobile內部安全管理部門打電話。”當毫無戒心的銷售代表不小心讓諾亞進入系統時，賈恩克和他的朋友們會屏息傾聽每一個字。 當諾亞出錯時，他們會笑得前仰後合。 （T-Mobile的一位發言人表示，公司已經改進了安全措施，以“減少非法SIM卡交換”。）

隨著諾亞欺騙越來越多的人，他發現目標不僅是可預測的，而且本質上是善良的。 雖然很難讓員工相信他們提交了IT工單，但他可以讓他們相信工單一定是錯誤地鏈接到他們的賬戶上——能否請他們幫忙關閉工單，以便他結束工作？ 他們幾乎總是配合。 當諾亞通過談話攻入一個新賬戶時，來自新朋友的認可比《我的世界》帶來的滿足感還要強。

“令人震驚的是，這麼年輕的孩子居然有能力在世界某個地方煽動槍擊事件，而且幾乎不需要承擔責任。”

諾亞的母親開始懷疑他在搞什麼鬼。 陌生人訂購的神秘披薩開始送到她家門口。 她聽到關於SIM卡交換的對話。 當她試圖制定更嚴格的規則時，16歲的諾亞搬去和父親住。

羅伯特·厄本（Robert Urban）住在佛羅里達州德蘭的一棟五居室房子裡。 車庫裡堆滿了工具，客廳擺滿了他伴侶兩個孩子的玩具。 一隻白色的馬爾基犬在他腳邊吠叫。 他說，當諾亞開始叫他“失敗者”（buster）時，他注意到了一些變化。 那時諾亞大約15歲。 “你不開法拉利，你還要支付房貸，你拼命工作，卻仍然在掙扎，”他回憶諾亞說過的話。 從那時起，厄本發現兒子的行為發生了“劇烈變化”。

當設計師服裝送到家門口時，或者在罕見的社交場合中，諾亞戴著一塊鑲滿鑽石、價值3.5萬美元的勞力士手錶，穿著一雙路易威登的運動鞋時，他會告訴父親，他通過《我的世界》出售物品，用所得資金投資加密貨幣。 厄本自己也喜歡比特幣，他還向朋友炫耀兒子的成功。

厄本試圖讓諾亞變現部分加密貨幣資產，用於更傳統的投資。 “不，爸爸，”諾亞會對他說，“我有我的計劃。”相反，他花了8萬美元購買了一個用戶名為Elijah的《我的世界》賬戶，又花了3萬美元購買了Twitter上的@e，此外還花了另一筆“荒謬”的金額購買了@autistic。

羅伯特·厄本在佛羅里達州德蘭的家中。

攝影師：Michelle Bruzzese/Bloomberg Businessweek

諾亞很快開始僱傭自己的電話詐騙員，包括他認識的賈斯汀。 他會根據電信公司賬戶的安全等級支付從60美元到1000美元不等的報酬。 如果電話詐騙員能讓員工安裝遠程訪問工具，他會支付高達4000美元。 當新冠疫情在全國范圍內關閉學校時，諾亞對員工額外的空閒時間感到非常滿意。

對電信公司的訪問時有時無，導致一些SIM交換者開始互相盜竊。 有些人開始進行“人肉搜索”（doxing），將其他黑客的真實姓名和個人信息發佈到網上以敲詐他們。 《彭博商業周刊》查看了數十段Discord和Telegram視頻，顯示年輕人在喊著各自SIM交換派系的名字時向住宅投擲磚塊，這種行為被稱為“投磚”（bricking）。 他們還破解並洩露對手女友的裸照及個人信息，鼓勵他人騷擾她們。 甚至有專門的Telegram聊天群用於羞辱“Com”成員的女友。

賓夕法尼亞州東部威斯頓-東戈申警察局的偵探大衛·黑爾（David Hale）說，他在2022年1月了解到“Com”，當時他被叫到一個富裕郊區的住宅，該住宅有人向客廳開了八槍，屋內有三人。 兩週前，該地區另一處房屋報告了一起火焰炸彈襲擊事件。 這兩起攻擊的目標都是與“Com”有關的年輕女性。 “令人震驚的是，這麼年輕的孩子居然有能力在世界某個地方煽動槍擊事件，而且幾乎不需要承擔責任，”黑爾說。

諾亞說，他沒有參與任何內部爭鬥，但他知道麻煩會找上門來。 2021年，黑客向他母親的家投擲磚塊，以為他還住在那裡。 她收到了匿名信息，威脅如果她兒子不轉移數十萬美元的加密貨幣，攻擊將繼續。 諾亞拒絕了，最終攻擊停止了。

艾莉森·尼克松（Allison Nixon）對此感到越來越擔憂。 作為網絡安全公司UNIt221B的首席研究官，她對黑客逃避警方審查感到沮喪，並對他們攻擊的侵略性表示擔憂。

網絡安全領域的成年人通常對青少年黑客持寬容態度，試圖引導他們進入行業職業，以利用他們的才能。 但在尼克松看來，這種方法已經不再奏效。 “解決這個問題的唯一方法，”她說，“是政府像對待暴力街頭幫派一樣，歷史性地解決這個問題。”

她的建議沒有引起政府官員的共鳴。 她形容這些官員“完全不知所措”，並表現得好像有更重要的事情要做，而不是在網上追逐孩子。 她和其他網絡安全調查人員警告執法官員，“Com”成員可能會成為更大的威脅。

到2022年，諾亞即將完成高中學業。 他變得越來越疏離，錯過了集會和舞會，也沒有提交一段展示同學戴口罩的YouTube合集視頻。 根據法庭記錄，諾亞已經是百萬富翁，但他更專注於將自己的犯罪事業提升到新的層次。

“我只想要財務自由，整天和朋友們一起玩，聽音樂。”

尋找新的加密貨幣持有者名單時，諾亞想到了針對通信技術公司Twilio Inc.的主意。 由於該公司的軟件被5萬家公司用於管理與客戶的短信和電話，諾亞認為它會擁有大量有價值的數據。 2022年8月，在他18歲生日的幾個星期前，他和朋友購買了一個偽造域名，該域名的網頁看起來像用戶認證公司Okta Inc.的登錄頁面，並向Twilio員工發送了帶有鏈接的短信。

“警告！！！您的Twilio日程已更改。點擊twilio-okta.com查看更改！”

諾亞成功讓一名Twilio員工上當受騙。 然而，當那個人沒有他想要的數據時，他登錄了他們的Slack賬戶，並向他在LINKedIn上找到的一名更高級別員工發送了一條消息。 “我基本上告訴他們，我們需要這些數據用於審計目的或類似的事情，”諾亞說，“然後他們就導出了數據庫並發送給了我。”

通過Twilio的企業客戶訪問代碼，諾亞和同夥能夠攻入更多公司。 總的來說，他們最終獲得了使用Twilio的209家公司的客戶數據，包括短信驗證碼。 “我們感覺自己像神一樣，”諾亞說。

幾天后，一家協助Twilio客戶的網絡安全公司Group-IB在博客中宣布了數據盜竊事件，並將黑客命名為0ktapus。 受到驚嚇的諾亞丟掉了價值3000美元的電腦和手機，換了新設備。 不久之後，一名0ktapus成員將數據分享給另一名SIM交換者，後者又進一步廣泛傳播。 隨著越來越多的“Com”成員從數據庫中挑選名字，這些數據在黑市上不再具有任何價值。

圖片：Jaque Silva/Getty Images

諾亞所在團隊的成員暫時低調了一段時間，但當警方沒有上門時，他們變得更加大膽。 據Group-IB表示，0ktapus在2022年繼續盜取了數千名員工的憑證。 當他們成功進入一個企業賬戶後，就會找出權限更高的員工並以他們為目標。 同年12月，該團伙還盜取了由溫克爾沃斯兄弟（Winklevoss twins）擁有的加密貨幣交易所Gemini Trust Co.的570萬名客戶個人信息，並將這些信息放到犯罪論壇上出售。

在諾亞滿18歲後，他搬出了父親的家，住進了佛羅里達州棕櫚海岸一個安靜社區的長期AirBNB。 他為自己的住所添置了床、桌子、沙發、電視，還有一隻毛色像奧利奧餅乾的貓，名叫戴安娜（Diana）。 他說：“我只想要財務自由，整天和朋友們一起玩，聽音樂。”

每週一次，他會開著道奇挑戰者（Dodge Challenger）去一個商業街，在橄欖園餐廳（Olive Garden）和一家鐵板燒餐廳之間選擇，並留下100到200美元的現金小費。 他還喜歡在夜晚高速公路上飆車，聽Lil Uzi Vert、Playboi Carti和Ken Carson的音樂。

諾亞經常活躍在一個名為Leakth.is的論壇上，那裡的人會發布他們最喜歡藝術家的“珍品”（即未發行的曲目）。 他決定針對環球音樂集團（Universal Music Group NV）和華納音樂集團（Warner Music Group Corp.）的員工，以便進入音效工程師和製作人的DrOPbox或iCloud賬戶，懷疑他們的文件中有未發行的音樂。

2022年，諾亞使用一個名為King Bob的Twitter賬戶發布了一段他聲稱是Playboi Carti未發行歌曲《Money N Drugs》的珍品片段。 這個名字是向《卑鄙的我》（DespicABle Me）中的小黃人致敬。 他的賬戶粉絲數一夜之間飆升至11,000人。 關於King Bob身份的各種理論在網上傳播開來，粉絲們猜測他可能是音樂工作室的推廣者或叛變的製作助理。 （唱片公司拒絕置評，Playboi Carti的經理沒有回應置評請求。）

諾亞稱，他並不是唯一一個使用King Bob化名盜取音樂的人，而且他認為發布珍品是推廣行為，而不是盜竊。 然而，被他攻擊的人卻有不同的看法。 納西爾·彭伯頓（Nasir PemberTON），一位為侃爺（Kanye West）、A$AP Rocky和Playboi Carti工作的製作人，指控諾亞盜取了他數百首歌曲，並在Discord上分享了他的Dropbox截圖。 “他差點毀了我的生活，”彭伯頓說。

“這完全是關於他們社區中的地位。這只是炫耀權。”

0ktapus並不是“Com”中唯一引發關注的團體。 另一個派系——後來與諾亞的團隊聯手後被暱稱為“Scattered Spider”——也想超越SIM交換的領域。 該派系包括一些曾屬於Lapsus$的成員，這個團體曾攻擊過英偉達（Nvidia Corp.）和優步（Uber Technologies Inc.）。 其中一名成員是一位名叫Jack的黑客，他吹噓自己與勒索軟件提供商有關係，並擁有繞過高級安全工具的軟件。 （另一名成員Thalha Jubair，據檢方稱代號為EarthtoStar，本月在英國被捕。美國檢方於9月18日公開了一項指控，稱現年19歲的Jubair幫助敲詐了47家美國公司，總金額達1.15億美元。他的英國律師拒絕置評。）

諾亞覺得與他們合作會很酷。 他開始與Jack建立聯繫，Jack對Twilio的入侵感到印象深刻，但卻貶低諾亞和他朋友們通過攻入公司盜取數據庫的策略。 Jack認為，通過敲詐被攻入的公司賺錢要快得多。

諾亞說，他們一起通過談話進入加密貨幣交易平台Crypto.com的一名員工賬戶。 他們還利用聯合包裹服務公司（UPS）的系統收集潛在受害者的個人數據。 （Crypto.com的一位發言人表示，此次針對其平台的攻擊此前未被媒體報導，涉及的信息僅影響“極少數個人”，且沒有客戶資金被訪問。UPS在2023年表示已修復問題，但拒絕為本文提供進一步細節。）

該團體渴望獲取更多數據。 諾亞稱，在虛擬課堂間隙，他使用ChatGPT研究哪些組織可以訪問盜取加密貨幣所需的個人詳細信息，以及哪些類型的員工可能擁有這些信息。 2023年1月，他們攻入了視頻遊戲公司Riot Games Inc.，盜取了其熱門遊戲《英雄聯盟》（League of Legends）的源代碼以及一些反作弊工具。 他們要求支付1000萬美元以歸還這些數據，這是該團體首次提出勒索要求。 Riot Games拒絕支付。

諾亞說，他沒有參與勒索企圖，但他此前通過自己的電話詐騙技巧進入了該公司。 他在盜竊期間對自己個人的Riot Games賬戶進行升級，這成為調查人員認為的重要線索——此外還有檢方稱他在幾天后發送的一條似乎承認攻擊的消息。

諾亞的拘留照片。

來源：沃盧西亞縣警長辦公室

2023年3月1日清晨，一切開始崩塌。 當諾亞帶著他的貓從獸醫那裡回家時，二十多名FBI探員和警察包圍了他的車，要求他打開車門。 他猶豫了一下，擔心戴安娜會跑出去，這讓他們起初懷疑他在隱藏什麼。 當他解釋後，警察允許他把貓帶進屋。

諾亞坐在沙發上閱讀搜查令，而探員們翻遍了他的住所，沒收了他的電腦和iPhone。 他拒絕提供密碼。 當他要求打電話給父親時，一名FBI探員同意了，並將諾亞的手機舉到他臉前試圖解鎖。 “好嘗試，”諾亞心想，同時躲開了。

檢方稱，聯邦探員總共查獲了約400萬美元的加密貨幣、10萬美元現金和價值10萬美元的珠寶，包括勞力士手錶和另外五塊手錶。 他們還拿走了一台點鈔機和諾亞的索尼PlayStation 5。 諾亞說，他們只給他留下16美元和一本護照。

“像其他所有的父親一樣，我心碎了，但我會永遠愛他，並在我死之前不會放棄他。”

諾亞當天沒有被逮捕，但FBI探員指控他攻入Riot Games以及涉及幾起加密貨幣盜竊事件。 “他們讓我坐下，說，‘我們知道你是一個社會工程師，’”諾亞回憶道。 “‘我們知道你是Scattered Spider的一員。’”

事實證明，FBI自2021年起就一直在追踪諾亞，當時他因在俄勒岡州波特蘭的一起SIM交換事件中被標記為低級參與者。 儘管諾亞缺乏技術技能，但他仍然是“我們當時所知的頂級交換者之一，”負責波特蘭辦公室的特別探員道格拉斯·奧爾森（Douglas Olson）說，他參與了此案。 “他非常非常擅長欺騙員工交換受害者電話號碼並獲取個人信息，從而實施犯罪。”

諾亞搬回了父親家，他的父親表示，當他聽到兒子涉嫌犯罪的程度時感到震驚。 同月，他們與律師一起飛往俄勒岡州，那裡FBI探員一直在追踪賈恩克，諾亞的某位合作夥伴。 據法庭文件顯示，諾亞在那裡向檢方承認，從2020年底到2023年初，他盜竊了多達1500萬美元。 他表示自己不會再接觸加密貨幣或進行黑客活動。

儘管諾亞在採訪中的言論，FBI的奧爾森認為他“完全沒有表現出悔意”。 奧爾森說，諾亞的整個社交生活都圍繞著實施網絡犯罪，這使他對受害者變得麻木。 事實上，諾亞告訴探員，他的大部分收益幾乎是獲得後立即花在加密貨幣賭博和遊戲網站上。 “這完全是關於他們社區中的地位，”奧爾森說。 “這只是炫耀權。”

即使在家中被突襲後，諾亞仍繼續進行社會工程學和盜竊音樂活動，據一名參與調查但要求匿名的FBI探員稱。 網絡犯罪研究人員表示，Scattered Spider在突襲後似乎安靜了一段時間。 同年9月，該團伙涉嫌攻入凱撒娛樂公司（Caesars Entertainment Inc.），並敲詐這家賭場公司1500萬美元。 據知情人士透露，凱撒沒有回應置評請求。

幾天后，米高梅度假村（MGM Resorts）發現黑客已經進入了其係統，盜取了員工的Okta密碼。 米高梅關閉了其計算機系統。 在拉斯維加斯的賭場大廳裡，老虎機的支付功能停止工作。 包括時任聯邦貿易委員會主席莉娜·汗（Lina Khan）在內的客人被鎖在房間外。 公司沒有支付贖金，但估計此次攻擊造成了1億美元的損失。

這一事件令人震驚。 勒索軟件通常是俄語團體的專屬領域，而現在的證據表明，這種軟件被離家更近的黑客所使用。

網絡安全公司CROwdStrike Holdings Inc.和Mandiant表示，Scattered Spider幾個月來一直在積極追踪他們的客戶。 這些公司與網絡安全公司分享了Scattered Spider與其客戶服務員工之間的錄音，研究人員驚訝地聽到熟悉的口音。 加密貨幣交易所Coinbase Global Inc.的首席信息安全官傑夫·隆格霍費爾（Jeff Lunglhofer）在2023年描述他們為“年輕、口齒伶俐的男性”，“反應迅速，甚至很機智。”

米高梅攻擊發生一個月後，微軟公司（Microsoft Corp.）在博客文章中描述了Scattered Spider的勒索信變得越來越具有攻擊性。 成員們使用家庭地址和家族姓名以及身體威脅來迫使人們分享密碼或代碼，微軟表示。 同年11月，美國國土安全部警告稱Scattered Spider與勒索軟件團體AlphV合作，後者的成員講俄語，並為贖金分成提供現成的惡意軟件。

諾亞否認參與賭場攻擊或部署勒索軟件，他也沒有因這些罪行被起訴。 但政府懷疑他沒有完全改邪歸正。 檢方後來聲稱，2023年8月，諾亞從一個FBI正在追踪的錢包中提取了價值1萬美元的比特幣，儘管他承諾不再接觸加密貨幣。 他們發現了諾亞給朋友的Discord消息。 其中一條寫道：“我今天和一個聯邦律師談過。他們說如果我很快沒有被起訴，我很可能會贏得這場官司。你無法想像如果我沒有啟動‘核模式’（指刪除電腦上的所有內容）會有多糟糕。”

FBI對諾亞賬戶的分析顯示，2022年中期，他幫助通過加密貨幣交易所和在線賭博服務轉移了約7600萬美元。 諾亞說，這個數字不完全準確，但“也差不多。”

隨著執法部門逐漸逼近諾亞，他的一些同夥陷入了另一種麻煩。 賈恩克於2023年3月認罪，承認共謀進行電信欺詐。 他在保釋期間繼續進行黑客活動。 同年11月，當他返回波特蘭的公寓時，三名男子將他拖進了一輛貨車。 他們將他的手綁在背後，套上頭罩。 綁架者多次取下頭罩詢問賈恩克的加密貨幣藏匿地點，當他不回答時，又將頭罩緊緊套回他的脖子。 他們不知道聯邦探員已經從他那裡查獲了400萬美元的加密貨幣。

“該死，”賈恩克回憶道，他在加州洛姆波克聯邦監獄的探視室裡坐在一個兒童大小的椅子上講述了這次綁架。 “我可能要死了。”

第二天早晨，一名慢跑者在一個十字路口發現了賈恩克，他被綁在一根柱子上，遍體鱗傷。 賈恩克在離開重症監護病房後一個月再次被捕，並被判處六年監禁。 他說，現在在監獄裡是一種解脫，他的手腕上仍然可見一條電纜紮帶留下的疤痕，上面刺有《飛出個未來》（Futurama）角色本德（Bender）的紋身。 他說，他的家人可以重建他們的生活，不再受到騷擾，而他自己也不再有黑客的誘惑。 “我們做的事情，我想，確實挺糟糕的，”他說。

2024年10月，四名男子因與賈恩克綁架案有關而被捕。 他們都不認罪，目前正在等待審判。 檢方稱，另外兩名男子負責綁架賈斯汀，即那名在視頻中請求諾亞幫助他的男孩。 兩人因入室盜竊和加密貨幣盜竊被定罪。 賈斯汀設法逃脫，並在距離家120英里的佛羅里達高速公路上被一名州警發現。 他無法聯繫置評。

諾亞在佛羅里達州監獄的視頻通話截圖。

攝影師：Margi Murphy

諾亞於2024年1月被捕，距離警方搜查他在棕櫚海岸的住所已有九個月。 他被關押期間不得保釋。 隨後，加州檢方對他及另外四人提起了涉及黑客攻擊13家公司的指控，包括AT&T、T-Mobile、Verizon Communications Inc.、Twilio和Riot Games。 這些指控中包括他的蘇格蘭遊戲好友泰勒·布坎南（Tyler Buchanan），後者於2024年6月在西班牙被捕並被引渡至美國，他對指控表示不認罪。 布坎南本人及其律師均未回應置評請求。 AT&T、T-Mobile、Verizon、Twilio和Riot Games也拒絕置評。

諾亞並未因盜竊音樂而受到指控，但檢方在起訴書中提到了King Bob，而他的拘留照片迅速成為網絡上的表情包。 在線上，Playboi Carti的粉絲呼籲FBI公開諾亞盜取的音樂收藏。 一名Reddit用戶指責諾亞的父母對其犯罪行為負有責任，這促使諾亞的父親在網站上作出回應。 “有時候人們會做出違背他們所受教育的選擇，”厄本寫道，“像其他所有的父親一樣，我心碎了，但我會永遠愛他，並在我死之前不會放棄他。”

美國佛羅里達中區的檢察官格雷戈里·基奧（Gregory Kehoe）預測，像諾亞這樣的人很難徹底擺脫犯罪。 “這不僅僅是上癮，這是他們的生活方式，”他說。 “如果你的整個社交網絡都圍繞著多個平台上的在線交流，即使你遇到了一些挫折，你又有多大可能不會重新回到那種生活？”

諾亞表現出他還未準備好放棄在線生活的跡象。 他曾因使用偷運的手機被兩次關進單獨監禁。 2024年8月，他在X（原Twitter）賬戶上發了一條帖子：“無聊。”負責他案件的法官遭到黑客攻擊，檢方指責這是諾亞的一名同夥所為。

“像AT&T和T-Mobile這樣的財富500強公司居然被一群青少年孩子輕易地欺騙了。”

被捕幾週後，諾亞從監獄打電話給《商業周刊》的一名記者，回應採訪請求。 在接下來的一年裡，他幾乎每週都會從佛羅里達州斯塔克的監獄打電話，講述他的經歷。 他言辭禮貌、冷靜，且擁有一種令人放鬆的幽默感。 他說，起初大多數囚犯都對這個因“電腦指控”而被關押的白人小孩持懷疑態度——通常“電腦指控”是性犯罪的代名詞。 但當他的拘留照片出現在關於米高梅黑客事件的《60分鐘》節目片段中時，他們開始對他改觀。

2024年4月，諾亞對電信欺詐和嚴重身份盜竊罪表示認罪。 在7月的一次視頻通話中，他蜷縮在他生活了19個月的30人宿舍的雙層床底部，距離判刑還有幾週。 在之前的電話中，他聽起來很自信，談論如何贏得囚犯的尊重，以及用方便麵賭博而不是用數百萬美元。 然而，這次，他頭髮梳在額頭上，顯得年輕而笨拙。 他談起一個曾經喜歡的女孩，他們在學校一起打排球。

當聽到英國逮捕了四名“Scattered Spider”嫌疑人的消息時，他的眼神幾乎沒有變化。 諾亞說，只要年輕人繼續招募彼此，這種犯罪就會繼續。 “希望它會結束，但我看不到這種可能性。”

2024年8月20日，諾亞穿著一件背後印有“囚犯”字樣的海軍藍色囚服，出現在傑克遜維爾的聯邦法院接受判刑。 在前一晚的電話中，他說自己“既緊張又興奮”，預計不會超過八年監禁，並對律師提出的五年請求感到樂觀。

他的律師凱瑟琳·謝爾頓（Kathryn SheLDOn）告訴法庭，諾亞受到了年長的共謀者的教唆，並捲入了他認為是遊戲的活動。 “不是要把責任推到Coinbase或其他組織身上，”她說，“但像AT&T和T-Mobile這樣的財富500強公司居然被一群青少年孩子輕易地欺騙了。”

諾亞向受害者和家人道歉，承諾將傳播他所負責的剝削行為的意識。 “無論什麼時候我能出來，我都想專注於改善自己，”他說。

但他並沒有得到他所希望的寬恕。 美國地區法官哈維·施萊辛格（Harvey Schlesinger）是一名85歲的前檢察官，自1991年起擔任法官，他宣讀了諾亞幾名受害者的聲明，包括一名前消防員，他本指望自己的加密貨幣儲備來支付試管嬰兒治療費用；還有一名退休人員，他在失去錢後不得不找份快遞員的工作。 一名來自明尼阿波利斯的企業主，他的數十萬美元加密貨幣本是為孩子準備的，被諾亞盜走，他坐在旁聽席上聽判。

法官判處諾亞10年監禁——比檢方要求的刑期還要長。 法官表示，儘管諾亞的大部分犯罪行為是在未成年時進行的，但他顯然“比大多數人聰明”。 較長的刑期希望能起到威懾作用。 他在法官宣讀他欠債的一長串受害者名單並命令他支付 1340 萬美元賠償時幾乎沒有動作。

第二天晚上，諾亞從監獄打來電話。 他說自己後悔傷害了家人和受害者，但他似乎對自己建立的友誼充滿希望。 “我並不是說我做的事情是好事，這是一個可怕的社區，而我做的事情是壞的，”諾亞說。 “但我愛我的生活。我喜歡我自己。我很高興我能以我自己的方式活過這一生。”