Quatro Detidos no Reino Unido Ligados ao Grupo de Ransomware 'Scattered Spider'
Autoridades britânicas prenderam quatro indivíduos, com idades entre 17 e 20 anos, em conexão com ataques recentes de roubo de dados e extorsão contra grandes varejistas. As prisões estão ligadas ao grupo de cibercrime 'Scattered Spider', conhecido por suas táticas de engenharia social.
MundiX News·25 de junho de 2026·6 min de leitura·👁 1 views
Autoridades no Reino Unido prenderam esta semana quatro pessoas com idades entre 17 e 20 anos em conexão com recentes ataques de roubo de dados e extorsão contra os varejistas Marks & Spencer e Harrods, e o varejista britânico de alimentos Co-op Group. As violações foram ligadas a um grupo prolífico, mas frouxamente afiliado, de cibercrime apelidado de "Scattered Spider", cujas outras vítimas recentes incluem várias companhias aéreas.
A Agência Nacional do Crime (NCA) do Reino Unido se recusou a verificar os nomes dos detidos, afirmando apenas que incluíam dois homens de 19 anos, outro de 17 anos e uma mulher de 20 anos. O Scattered Spider é o nome dado a um grupo de cibercrime de língua inglesa conhecido por usar táticas de engenharia social para invadir empresas e roubar dados para extorsão, muitas vezes se passando por funcionários ou contratados para enganar os serviços de suporte de TI e obter acesso. O FBI alertou no mês passado que o Scattered Spider havia mudado recentemente seu foco para empresas nos setores de varejo e aviação.
KrebsOnSecurity apurou as identidades de dois dos suspeitos. Várias fontes próximas à investigação disseram que entre os detidos está Owen David Flowers, um britânico que teria se envolvido na intrusão cibernética e ataque de ransomware que paralisou várias propriedades do MGM Casino em setembro de 2023. As mesmas fontes disseram que a mulher presa é ou recentemente esteve em um relacionamento com Flowers. Fontes disseram a KrebsOnSecurity que Flowers, que supostamente usava os apelidos "bo764", "Holy" e "Nazi", foi o membro do grupo que deu entrevistas anonimamente à mídia nos dias seguintes ao hack do MGM. Seu nome real foi omitido em uma matéria de setembro de 2024 sobre o grupo porque ele ainda não havia sido acusado naquele incidente.
O peixe maior preso esta semana é Thalha Jubair, de 19 anos, um britânico cujas supostas explorações sob vários apelidos foram bem documentadas em matérias neste site. Acredita-se que Jubair tenha usado o apelido "Earth2Star", que corresponde a um membro fundador do canal do Telegram focado em cibercrime "Star Fraud Chat". Em 2023, KrebsOnSecurity publicou uma investigação sobre o trabalho de três grupos diferentes de SIM-swapping que realizaram phishing de credenciais de funcionários da T-Mobile e usaram esse acesso para oferecer um serviço onde qualquer número de telefone da T-Mobile poderia ser trocado para um novo dispositivo. O Star Chat foi, de longe, o mais ativo e consequente dos três grupos de SIM-swapping, que coletivamente invadiram a rede da T-Mobile mais de 100 vezes na segunda metade de 2022.
Jubair supostamente usou os apelidos "Earth2Star" e "Star Ace", e foi um membro central de um grupo prolífico de SIM-swapping operando em 2022. O Star Ace postou esta imagem no canal Star Fraud no Telegram, e ela lista vários preços para SIM-swaps. Fontes dizem a KrebsOnSecurity que Jubair também foi um membro central do grupo de cibercrime LAPSUS$, que invadiu dezenas de empresas de tecnologia em 2022, roubando código-fonte e outros dados internos de gigantes da tecnologia, incluindo Microsoft, Nvidia, Okta, Rockstar Games, Samsung, T-Mobile e Uber.
Em abril de 2022, KrebsOnSecurity publicou registros internos de chat do LAPSUS$, e esses chats indicaram que Jubair estava usando os apelidos Amtrak e Asyntax. Em um ponto dos chats, Amtrak disse ao líder do grupo LAPSUS$ para não compartilhar o logotipo da T-Mobile em imagens enviadas ao grupo, porque ele já havia sido pego por SIM-swapping e seus pais suspeitariam que ele estava de volta à ativa. Como mostrado nesses chats, o líder do LAPSUS$ eventualmente decidiu trair Amtrak postando seu nome real, número de telefone e outros apelidos de hacker em uma sala de chat pública no Telegram.
Em março de 2022, o líder do grupo de extorsão de dados LAPSUS$ expôs o nome e os apelidos de hacker de Thalha Jubair em uma sala de chat pública no Telegram. Essa matéria sobre os chats vazados do LAPSUS$ conectou Amtrak/Asyntax/Jubair à identidade "Everlynn", fundadora de um serviço criminoso cibernético que vendia "pedidos de dados de emergência" fraudulentos direcionados aos principais provedores de mídia social e e-mail. Nesses esquemas, os hackers comprometem contas de e-mail ligadas a departamentos de polícia e agências governamentais e, em seguida, enviam demandas não autorizadas por dados de assinantes, alegando que as informações solicitadas não podem esperar por uma ordem judicial, pois se relacionam a uma questão urgente de vida ou morte.
A lista da agora extinta equipe de hackers "Infinity Recursion", da qual alguns membros do LAPSUS$ se originam. Fontes dizem que Jubair também usou o apelido "Operator", e que até recentemente ele era o administrador do Doxbin, uma comunidade online antiga e altamente tóxica usada para "doxar" ou postar informações profundamente pessoais sobre pessoas. Em maio de 2024, vários canais populares de cibercrime no Telegram ridicularizaram o Operator após a revelação de que ele havia encenado seu próprio sequestro em um plano fracassado para despistar investigadores da lei. Em novembro de 2024, autoridades dos EUA acusaram cinco homens com idades entre 20 e 25 anos em conexão com o grupo Scattered Spider, que há muito tempo depende do recrutamento de menores para realizar suas atividades mais arriscadas. De fato, muitos dos membros centrais do grupo foram recrutados em plataformas de jogos online como Roblox e Minecraft em sua adolescência e vêm aperfeiçoando suas táticas de engenharia social por anos.
"Há um padrão claro de que alguns dos atores de ameaça mais depravados ingressaram em gangues de cibercrime em uma idade excepcionalmente jovem", disse Allison Nixon, diretora de pesquisa da empresa de segurança Unit 221B, sediada em Nova York. "Cibercriminosos presos aos 15 anos ou menos precisam de intervenção e monitoramento sérios para evitar uma escalada massiva de anos."
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Autoridades no Reino Unido prenderam esta semana quatro pessoas com idades entre 17 e 20 anos em conexão com recentes ataques de roubo de dados e extorsão contra os varejistas Marks & Spencer e Harrods, e o varejista britânico de alimentos Co-op Group. As violações foram ligadas a um grupo prolífico, mas frouxamente afiliado, de cibercrime apelidado de "Scattered Spider", cujas outras vítimas recentes incluem várias companhias aéreas.
A Agência Nacional do Crime (NCA) do Reino Unido se recusou a verificar os nomes dos detidos, afirmando apenas que incluíam dois homens de 19 anos, outro de 17 anos e uma mulher de 20 anos. O Scattered Spider é o nome dado a um grupo de cibercrime de língua inglesa conhecido por usar táticas de engenharia social para invadir empresas e roubar dados para extorsão, muitas vezes se passando por funcionários ou contratados para enganar os serviços de suporte de TI e obter acesso. O FBI alertou no mês passado que o Scattered Spider havia mudado recentemente seu foco para empresas nos setores de varejo e aviação.
KrebsOnSecurity apurou as identidades de dois dos suspeitos. Várias fontes próximas à investigação disseram que entre os detidos está Owen David Flowers, um britânico que teria se envolvido na intrusão cibernética e ataque de ransomware que paralisou várias propriedades do MGM Casino em setembro de 2023. As mesmas fontes disseram que a mulher presa é ou recentemente esteve em um relacionamento com Flowers. Fontes disseram a KrebsOnSecurity que Flowers, que supostamente usava os apelidos "bo764", "Holy" e "Nazi", foi o membro do grupo que deu entrevistas anonimamente à mídia nos dias seguintes ao hack do MGM. Seu nome real foi omitido em uma matéria de setembro de 2024 sobre o grupo porque ele ainda não havia sido acusado naquele incidente.
O peixe maior preso esta semana é Thalha Jubair, de 19 anos, um britânico cujas supostas explorações sob vários apelidos foram bem documentadas em matérias neste site. Acredita-se que Jubair tenha usado o apelido "Earth2Star", que corresponde a um membro fundador do canal do Telegram focado em cibercrime "Star Fraud Chat". Em 2023, KrebsOnSecurity publicou uma investigação sobre o trabalho de três grupos diferentes de SIM-swapping que realizaram phishing de credenciais de funcionários da T-Mobile e usaram esse acesso para oferecer um serviço onde qualquer número de telefone da T-Mobile poderia ser trocado para um novo dispositivo. O Star Chat foi, de longe, o mais ativo e consequente dos três grupos de SIM-swapping, que coletivamente invadiram a rede da T-Mobile mais de 100 vezes na segunda metade de 2022.
Jubair supostamente usou os apelidos "Earth2Star" e "Star Ace", e foi um membro central de um grupo prolífico de SIM-swapping operando em 2022. O Star Ace postou esta imagem no canal Star Fraud no Telegram, e ela lista vários preços para SIM-swaps. Fontes dizem a KrebsOnSecurity que Jubair também foi um membro central do grupo de cibercrime LAPSUS$, que invadiu dezenas de empresas de tecnologia em 2022, roubando código-fonte e outros dados internos de gigantes da tecnologia, incluindo Microsoft, Nvidia, Okta, Rockstar Games, Samsung, T-Mobile e Uber.
Em abril de 2022, KrebsOnSecurity publicou registros internos de chat do LAPSUS$, e esses chats indicaram que Jubair estava usando os apelidos Amtrak e Asyntax. Em um ponto dos chats, Amtrak disse ao líder do grupo LAPSUS$ para não compartilhar o logotipo da T-Mobile em imagens enviadas ao grupo, porque ele já havia sido pego por SIM-swapping e seus pais suspeitariam que ele estava de volta à ativa. Como mostrado nesses chats, o líder do LAPSUS$ eventualmente decidiu trair Amtrak postando seu nome real, número de telefone e outros apelidos de hacker em uma sala de chat pública no Telegram.
Em março de 2022, o líder do grupo de extorsão de dados LAPSUS$ expôs o nome e os apelidos de hacker de Thalha Jubair em uma sala de chat pública no Telegram. Essa matéria sobre os chats vazados do LAPSUS$ conectou Amtrak/Asyntax/Jubair à identidade "Everlynn", fundadora de um serviço criminoso cibernético que vendia "pedidos de dados de emergência" fraudulentos direcionados aos principais provedores de mídia social e e-mail. Nesses esquemas, os hackers comprometem contas de e-mail ligadas a departamentos de polícia e agências governamentais e, em seguida, enviam demandas não autorizadas por dados de assinantes, alegando que as informações solicitadas não podem esperar por uma ordem judicial, pois se relacionam a uma questão urgente de vida ou morte.
A lista da agora extinta equipe de hackers "Infinity Recursion", da qual alguns membros do LAPSUS$ se originam. Fontes dizem que Jubair também usou o apelido "Operator", e que até recentemente ele era o administrador do Doxbin, uma comunidade online antiga e altamente tóxica usada para "doxar" ou postar informações profundamente pessoais sobre pessoas. Em maio de 2024, vários canais populares de cibercrime no Telegram ridicularizaram o Operator após a revelação de que ele havia encenado seu próprio sequestro em um plano fracassado para despistar investigadores da lei. Em novembro de 2024, autoridades dos EUA acusaram cinco homens com idades entre 20 e 25 anos em conexão com o grupo Scattered Spider, que há muito tempo depende do recrutamento de menores para realizar suas atividades mais arriscadas. De fato, muitos dos membros centrais do grupo foram recrutados em plataformas de jogos online como Roblox e Minecraft em sua adolescência e vêm aperfeiçoando suas táticas de engenharia social por anos.
"Há um padrão claro de que alguns dos atores de ameaça mais depravados ingressaram em gangues de cibercrime em uma idade excepcionalmente jovem", disse Allison Nixon, diretora de pesquisa da empresa de segurança Unit 221B, sediada em Nova York. "Cibercriminosos presos aos 15 anos ou menos precisam de intervenção e monitoramento sérios para evitar uma escalada massiva de anos."
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
