Scattered Spider

Cidadão dual dos EUA e Estônia extraditado por cibercrime

Peter Stokes, um cidadão dual dos Estados Unidos e da Estônia, foi extraditado para os EUA após ser acusado de ser membro do coletivo de hackers Scattered Spider. O jovem de 19 anos foi preso na Finlândia enquanto tentava embarcar para o Japão e é acusado de extorquir milhões de dólares de várias empresas de renome mundial. Documentos judiciais revelam que Stokes esteve envolvido em pelo menos quatro invasões do Scattered Spider, incluindo um ataque em março de 2023 a uma plataforma de comunicação online, quando tinha apenas 16 anos. Durante um ataque em maio de 2025, os hackers se passaram por funcionários de uma empresa de itens de luxo, solicitando um resgate de 8 milhões de dólares, embora a empresa tenha se recusado a pagar, resultando em perdas de mais de 2 milhões de dólares devido a interrupções operacionais. O grupo Scattered Spider, que surgiu em 2022, é conhecido por usar engenharia social e ataques de phishing para roubar credenciais e documentos sensíveis. O FBI informou que o grupo já esteve envolvido em mais de 100 intrusões, resultando em pagamentos de resgate superiores a 100 milhões de dólares.

Adolescente extraditado por envolvimento em grupo de hackers nos EUA

Um adolescente de 19 anos, Peter Stokes, foi extraditado da Finlândia para os Estados Unidos, onde enfrenta acusações de conspiração, invasão de computadores e fraude, conforme anunciado pelo Departamento de Justiça dos EUA. Stokes, que possui cidadania dupla dos EUA e Estônia, foi preso em abril sob um Aviso Vermelho da Interpol e compareceu a um tribunal federal em Chicago no dia 30 de junho, onde foi mantido sob custódia. Ele é acusado de fazer parte do grupo de hackers Scattered Spider, conhecido por ataques a cassinos, varejistas e companhias aéreas. O grupo utiliza engenharia social para obter acesso a sistemas, enganando funcionários de suporte técnico para que resetem senhas. Em um dos ataques, Stokes e outros invadiram uma joalheria de luxo, roubaram dados e exigiram um resgate de cerca de 8 milhões de dólares em criptomoeda. O caso de Stokes é parte de uma série de prisões relacionadas ao grupo, que já está associado a mais de 100 intrusões em redes, resultando em pagamentos de resgate superiores a 100 milhões de dólares. Especialistas em segurança alertam que a vulnerabilidade principal reside nos serviços de suporte técnico, e recomendações incluem a implementação de verificações de identidade mais rigorosas.

Membros do grupo Scattered Spider se declaram culpados por ataque cibernético ao TfL

Dois membros do grupo de cibercrime ‘Scattered Spider’, Thalha Jubair (20) e Owen Flowers (18), se declararam culpados por invadir os sistemas do Transport for London (TfL) entre 31 de agosto e 3 de setembro de 2024, resultando em perdas financeiras significativas. Inicialmente, ambos negaram envolvimento, mas mudaram suas declarações no primeiro dia do julgamento no Woolwich Crown Court. O ataque comprometeu o sistema de reembolso do TfL, atrasando a devolução de valores a clientes e resultando no roubo de dados de usuários. A National Crime Agency (NCA) do Reino Unido confirmou que o ataque causou danos financeiros de £29 milhões (aproximadamente R$ 230 milhões) e forçou 28 mil funcionários a redefinir suas senhas. As investigações revelaram que Flowers estava também ligado a invasões em organizações de saúde nos EUA. O caso destaca a importância da colaboração entre empresas e autoridades para mitigar ataques cibernéticos e proteger infraestruturas críticas.

Cidadão americano é preso na Finlândia por envolvimento em cibercrime

Um jovem de 19 anos, cidadão dos Estados Unidos e da Estônia, foi preso na Finlândia sob acusações federais nos EUA, sendo acusado de ser um membro ativo do coletivo de hackers Scattered Spider. De acordo com documentos judiciais, o suspeito, que usava o pseudônimo ‘Bouquet’, teria ajudado a extorquir milhões de dólares de grandes corporações ao redor do mundo. Ele foi detido no aeroporto de Helsinque enquanto tentava embarcar para o Japão. As acusações incluem fraude eletrônica, conspiração e invasão de computadores. O coletivo Scattered Spider, que surgiu em 2022, é conhecido por suas táticas de engenharia social e ataques de phishing, visando roubar credenciais de usuários e documentos sensíveis. Entre as vítimas estão empresas renomadas como Caesars e MGM Resorts. O caso destaca a crescente ameaça de grupos de hackers jovens e a necessidade de medidas de segurança robustas para proteger dados corporativos.

Líder do coletivo Scattered Spider se declara culpado por fraudes

Tyler Robert Buchanan, um britânico de 24 anos, se declarou culpado nos Estados Unidos por fraudes eletrônicas e roubo de identidade agravado. Ele é considerado o líder do coletivo de cibercrime Scattered Spider, que, entre setembro de 2021 e abril de 2023, teria roubado pelo menos 8 milhões de dólares em criptomoedas ao realizar ataques de phishing via SMS em diversas empresas. As organizações afetadas abrangem setores como entretenimento, telecomunicações e tecnologia. Os ataques consistiam no envio de mensagens de texto que se passavam por comunicações legítimas das empresas, levando os funcionários a fornecer informações confidenciais. Com esses dados, os criminosos conseguiram sequestrar contas de e-mail e realizar ataques de troca de SIM, transferindo milhões para carteiras que controlavam. Buchanan foi preso em junho de 2024 na Espanha e enfrenta uma pena máxima de 22 anos de prisão. Outros três cúmplices também foram acusados e podem enfrentar até 20 anos de prisão. O grupo Scattered Spider é conhecido por suas táticas de engenharia social e parcerias com gangues de ransomware, aumentando a preocupação sobre a segurança cibernética em nível global.

Sites de vazamento de dados atingem recorde com RaaS e LockBit 5.0

No terceiro trimestre de 2025, a atividade de ransomware atingiu níveis recordes, impulsionada pelo anúncio da plataforma RaaS (Ransomware as a Service) da Scattered Spider e o retorno do LockBit com a versão 5.0, que agora visa explicitamente a infraestrutura crítica. O número de sites ativos de vazamento de dados subiu para 81, com novos grupos emergindo em diversas regiões e setores, apesar do número total de organizações listadas permanecer estável em relação ao segundo trimestre. A Scattered Spider, conhecida por suas táticas de engenharia social, está se preparando para lançar sua plataforma ShinySp1d3r, prometendo uma integração eficiente de exfiltração de dados e criptografia de arquivos. Por outro lado, o LockBit 5.0 permite que seus afiliados ataquem infraestrutura crítica, refletindo uma mudança significativa em sua estratégia após ações de aplicação da lei. O setor de saúde e serviços técnicos viu um aumento nas exposições, enquanto setores como manufatura e construção enfrentaram quedas. A combinação de táticas de extorsão dupla e ataques a sistemas operacionais industriais representa uma ameaça crescente, exigindo que as organizações adotem medidas rigorosas de segurança, como segmentação de rede e monitoramento de sites de vazamento.

Pesquisadores Revelam Conexões entre LAPSUS, Scattered Spider e ShinyHunters

Um estudo da empresa de cibersegurança Resecurity revelou evidências de colaboração entre três grupos de cibercrime de língua inglesa: LAPSUS$, Scattered Spider e ShinyHunters. Esses grupos formam um ecossistema de crime cibernético adaptável, que tem como alvo corporações da Fortune 100 e agências governamentais entre 2023 e 2025. Em agosto de 2025, eles uniram forças em um canal do Telegram para coordenar ameaças e oferecer um novo serviço de ransomware chamado ‘shinysp1d3r’. A pesquisa indica que Scattered Spider fornece acesso inicial aos alvos, enquanto LAPSUS$ participa de campanhas coordenadas, incluindo ataques a ambientes da Salesforce e Snowflake. Os ataques recentes demonstraram táticas semelhantes entre os grupos, como engenharia social avançada e técnicas de SIM swapping. Entre as vítimas estão grandes companhias aéreas e marcas de luxo, com impactos financeiros significativos. Além disso, há preocupações sobre a violação de sistemas de aplicação da lei, o que representa uma escalada nas ações contra os grupos. Apesar de anunciarem sua ‘aposentadoria’, a Resecurity acredita que eles continuam a operar de forma discreta, exigindo atenção contínua das empresas em relação a essas ameaças emergentes.

Autoridades do Reino Unido prendem hackers do Scattered Spider ligados a ataque

Duas prisões foram realizadas no Reino Unido, incluindo a de Thalha Jubair, de 19 anos, acusado de participar de uma operação de ransomware que resultou em mais de 115 milhões de dólares em pagamentos de resgate. O grupo Scattered Spider, do qual Jubair faz parte, é responsável por pelo menos 120 invasões em redes de computadores em todo o mundo, afetando 47 entidades nos Estados Unidos, incluindo empresas Fortune 500 e sistemas de infraestrutura crítica. Os ataques foram caracterizados pelo uso de técnicas de engenharia social para obter acesso não autorizado e criptografar sistemas, exigindo resgates substanciais para restaurar a funcionalidade. As autoridades destacaram a colaboração internacional entre agências de segurança, incluindo o FBI e a National Crime Agency do Reino Unido, que resultou na apreensão de mais de 36 milhões de dólares em criptomoedas ligadas aos ataques. Se condenado, Jubair pode enfrentar até 95 anos de prisão. Este caso ressalta a crescente ameaça de cibercriminosos e a necessidade de uma resposta coordenada entre países para combater o crime cibernético.

Grupo cibercriminoso Scattered Spider ataca setor financeiro dos EUA

Pesquisadores de cibersegurança da ReliaQuest identificaram uma nova onda de ataques cibernéticos direcionados ao setor financeiro, atribuídos ao grupo de cibercrime conhecido como Scattered Spider. Este grupo, que havia anunciado uma suposta interrupção de suas atividades, agora demonstra um foco renovado em instituições financeiras, conforme evidenciado por um aumento no registro de domínios semelhantes e uma recente invasão direcionada a um banco nos EUA. Os atacantes conseguiram acesso inicial por meio de engenharia social, comprometendo a conta de um executivo e utilizando o Azure Active Directory para redefinir senhas. A partir daí, acessaram documentos sensíveis e comprometeram a infraestrutura de VMware ESXi, permitindo a extração de credenciais e a infiltração na rede. Além disso, tentaram exfiltrar dados de plataformas como Snowflake e AWS. A ReliaQuest alerta que a alegação de aposentadoria do grupo deve ser vista com ceticismo, já que a história mostra que grupos cibercriminosos frequentemente se reagrupam ou rebatizam para evitar a pressão da lei. A situação destaca a necessidade de vigilância contínua por parte das organizações, especialmente em um cenário onde a segurança cibernética é cada vez mais crítica.

Ator de Ameaça PoisonSeed Registra Novos Domínios para Roubo de Credenciais

Pesquisadores de segurança da DomainTools identificaram uma nova onda de infraestrutura maliciosa associada ao ator de ameaça PoisonSeed, com 21 domínios registrados desde 1º de junho de 2025. A campanha visa principalmente clientes do SendGrid e ambientes empresariais, representando uma continuação das operações de phishing sofisticadas semelhantes ao grupo de cibercrime SCATTERED SPIDER. Os domínios recém-descobertos seguem as táticas, técnicas e procedimentos (TTPs) estabelecidos pelo PoisonSeed, utilizando intersticiais de CAPTCHA falsos da Cloudflare para adicionar legitimidade antes de redirecionar as vítimas para páginas de coleta de credenciais. Os pesquisadores observaram que esses domínios maliciosos exibem dados falsificados de Ray ID da Cloudflare, imitando processos de verificação de segurança legítimos. A infraestrutura maliciosa demonstra padrões de registro e hospedagem consistentes com campanhas anteriores do PoisonSeed, sendo todos os domínios registrados através do NiceNIC International Group Co. e hospedados em endereços IP específicos. A análise sugere que as operações do PoisonSeed podem estar conectadas ao coletivo de cibercrime “The Com”, que inclui jovens envolvidos em ataques motivados financeiramente desde 2022. Organizações que utilizam SendGrid devem implementar monitoramento aprimorado para solicitações de autenticação suspeitas e verificar comunicações através de canais oficiais antes de fornecer credenciais.

Desafios de Segurança em Navegadores O Caso do Scattered Spider

À medida que as empresas transferem suas operações para navegadores, os desafios de segurança cibernética aumentam. Um estudo recente revela que mais de 80% dos incidentes de segurança têm origem em aplicações web acessadas por navegadores como Chrome, Edge e Firefox. O grupo de hackers conhecido como Scattered Spider, também chamado de UNC3944, tem se destacado por sua abordagem focada em roubar dados sensíveis diretamente dos navegadores. Suas táticas incluem a exploração de credenciais salvas, manipulação do ambiente do navegador e uso de técnicas avançadas como injeção de JavaScript e extensões maliciosas. Para combater essas ameaças, os CISOs devem adotar uma estratégia de segurança em múltiplas camadas, que inclui proteção contra roubo de credenciais, governança de extensões e monitoramento de atividades no navegador. O artigo serve como um alerta para que os líderes de segurança elevem a segurança do navegador a um pilar central de defesa, considerando a crescente sofisticação dos ataques cibernéticos.