Os promotores dizem que os ataques de phishing duraram pelo menos de setembro de 2021 a abril de 2023. Durante este período, os arguidos enviaram mensagens de texto para os telemóveis dos funcionários das empresas visadas, alegando provir dos departamentos de TI dos seus empregadores.
As mensagens de texto alertavam frequentemente falsamente que as contas dos funcionários seriam em breve desactivadas se não clicassem em links para sites maliciosos concebidos para se parecerem com sites legítimos utilizados pelas empresas vítimas. Sites de phishing tentaram enganar os funcionários para que fornecessem informações confidenciais, incluindo credenciais de login de contas. Alguns funcionários morderam a isca visitando sites, inserindo suas credenciais e autenticando suas identidades com autenticação de dois fatores. O Scattered Spider então inseriu as senhas interceptadas e as credenciais 2FA em sites legítimos e acessou as contas dos funcionários.
Uma vez dentro das redes das empresas visadas, os réus alegadamente roubaram informações confidenciais, incluindo informações pessoais como credenciais de contas, nomes, endereços de e-mail e números de telefone. Os promotores disseram que os réus também usaram informações roubadas de empresas hackeadas e de outros lugares para acessar contas ou carteiras de criptomoedas de “vários indivíduos” e roubar milhões de dólares em moedas digitais.
Se condenado, cada réu enfrentará uma pena máxima de 20 anos de prisão por conspiração para fraudar, até cinco anos de prisão federal por uma acusação de conspiração e uma sentença obrigatória de dois anos consecutivos por roubo de identidade agravado. Buchanan também pode pegar até 20 anos de prisão se for condenado por fraude.
