Il GDID è servito per inchiodare l'autore di una vasta campagna di ransomware.
[ZEUS News - www.zeusnews.it - 06-07-2026]
Molti non lo sanno ma Microsoft è in grado di identificare in modo univoco una specifica installazione di Windows 11, e quindi un preciso PC, grazie a un codice interno generato dal sistema operativo. Questo identificatore è stato ora utilizzato dalle autorità statunitensi per collegare un computer a una serie di attacchi ransomware, portando così all'arresto di un giovane di 19 anni accusato, come parte della rete di criminali informatici Scattered Spider, di aver compromesso reti aziendali e infrastrutture critiche. Secondo i documenti giudiziari, l'indagine ha ricostruito le operazioni del sospettato attraverso un insieme di elementi tecnici, tra cui appunto l'identificatore univoco generato da Windows. Questo codice, presente nei log e nei dati telemetrici raccolti durante l'uso del PC, ha permesso agli investigatori di associare una specifica installazione di Windows 11 alle connessioni utilizzate per distribuire ransomware e per accedere a server compromessi. L'identificatore è stato rilevato in più punti dell'infrastruttura analizzata, confermando che le attività provenivano dalla stessa macchina.
Il Dipartimento di Giustizia USA ritiene il giovane responsabile di una sequenza di attacchi che includeva l'uso di strumenti di accesso remoto, la distribuzione di software malevoli e la richiesta di riscatti alle vittime. L'identificatore di Windows 11 è stato uno degli elementi che ha permesso di collegare queste operazioni a un singolo dispositivo, insieme agli indirizzi IP, ai log dei servizi utilizzati e ai dati recuperati dai server compromessi. La combinazione di questi elementi ha fornito una traccia tecnica coerente. Il codice identificativo di Windows 11 è generato durante l'installazione del sistema e rimane associato alla macchina anche dopo aggiornamenti o modifiche software. Le autorità hanno indicato che questo identificatore compare nei log di autenticazione, nelle richieste inviate ai servizi cloud e nei metadati dei file generati dal sistema. La sua persistenza ha permesso di ricostruire la cronologia delle attività del sospettato, anche quando venivano utilizzati strumenti per nascondere l'indirizzo IP o per aggirare i controlli di sicurezza.
Nel caso analizzato, l'identificatore è stato rilevato in connessioni verso server remoti utilizzati per distribuire ransomware, in accessi non autorizzati a reti aziendali e in comunicazioni con infrastrutture di comando e controllo. La ripetizione dello stesso codice in contesti diversi ha permesso agli investigatori di stabilire che le operazioni provenivano dalla stessa installazione di Windows 11, indipendentemente dalle tecniche di offuscamento impiegate. Le autorità hanno poi analizzato i dispositivi sequestrati durante l'arresto, confermando che l'identificatore presente nei log remoti corrispondeva a quello della macchina fisica. Questa corrispondenza ha fornito una prova diretta che il dispositivo era stato utilizzato per gli attacchi descritti. L'analisi forense ha mostrato la presenza di strumenti di hacking, file di configurazione e copie dei ransomware distribuiti.
Il caso, al di là della campagna di malware sventata, ha portato all'attenzione del grande pubblico l'esistenza del GDID (Global Devide Identifier) in Windows, che peraltro è anche il motivo per cui, quando si cambia un componente importante del computer, la licenza di Windows può disattivarsi: il GDID è infatti generato a partire da alcuni componenti chiave dell'hardware e, se non c'è corrispondenza tra quello generato alla prima installazione di Windows e quello che risulta durante le verifiche, ecco che la licenza viene invalidata. Ora sappiamo anche che Microsoft può farne uso per tracciare l'utilizzo di un dato PC: chi tiene alla propria privacy ma ancora si fida di Windows e della sua telemetria farebbe bene a rifletterci su un po'.
|
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
|
||
|
