Dois membros do Scattered Spider se declaram culpados pelo ataque cibernético à Transport for London

Dois membros do grupo Scattered Spider — Thalha Jubair, 20, de Londres, e Owen Flowers, 18, de Walsall — confessaram em tribunal britânico envolvimento no ataque cibernético de 2024 contra a Transport for London (TfL), responsável pela rede de transporte público da capital inglesa. O incidente custou cerca de £29 milhões em perdas e recuperação, derrubou serviços de Oyster Card e expôs a fragilidade de uma infraestrutura crítica que opera até 5 milhões de viagens diárias só no metrô. A sentença será proferida em 16 de julho, sob as penalidades do Computer Misuse Act do Reino Unido.

O que aconteceu

De acordo com a National Crime Agency (NCA) britânica, o ataque ocorreu entre 31 de agosto e 3 de setembro de 2024 e atingiu sistemas críticos da TfL, incluindo o de reembolsos do Oyster — cartão usado pela maior parte dos passageiros do transporte público londrino — e o sistema de fotocartões para crianças e jovens, que ficou indisponível por semanas. Clientes ficaram sem o reembolso devido por períodos significativamente mais longos que o normal, e o setor de atendimento foi sobrecarregado.

Jubair e Flowers foram presos em setembro de 2025, em suas residências, por agentes da NCA e da City of London Police. Flowers, contudo, já havia passado por uma primeira detenção em 6 de setembro de 2024, dentro do estágio inicial da investigação da TfL. Posteriormente, ele descumpriu condições de fiança em duas ocasiões durante 2025 — o que reforça o histórico de reincidência.

Em uma vitória relativamente rara para investigadores que perseguem grupos como o Scattered Spider, ambos optaram por se declarar culpados, evitando um julgamento prolongado. O caso será uma das primeiras condenações de alta repercussão envolvendo um membro do coletivo conhecido pela combinação agressiva de engenharia social e operações de extorsão.

Detalhes do ataque

A investigação reuniu material digital robusto que vinculou os acusados não apenas ao incidente da TfL, mas a operações paralelas. Em uma das máquinas apreendidas, peritos encontraram capturas de tela demonstrando conectividade à infraestrutura da TfL; em outra, foram recuperados vídeos gravados por Flowers que mostravam Jubair acessando sistemas da operadora durante o ataque — evidência rara e direta de um movimento dentro do ambiente comprometido.

O material também demonstrou que a dupla mantinha comunicação operacional via Telegram e por meio de uma plataforma online de colaboração para compartilhar acessos e trocar informações. Esse padrão de comunicação é coerente com o modo de operação do Scattered Spider, conhecido por encadear vishing, smishing e SIM swapping para arrancar credenciais de funcionários e contratados, sem precisar de exploits sofisticados.

Além da TfL, evidências encontradas durante a busca conectam Flowers a intrusões em duas operadoras de saúde dos Estados Unidos — SSM Health e Sutter Health —, ampliando o alcance do dossiê e abrindo a possibilidade de processos adicionais em jurisdições estrangeiras.

“Esta foi uma investigação longa, altamente complexa e meticulosa. O crime cibernético pode parecer sem rosto e distante quando comparado a outras modalidades, mas a infiltração nos sistemas da TfL mostra que ele tem consequências no mundo real e impacta enormemente o público”, afirmou o vice-diretor Paul Foster, chefe da Unidade Nacional de Crimes Cibernéticos da NCA.

Quem é afetado

• Cerca de 5 milhões de passageiros diários do metrô de Londres, que sofreram com o sistema de cartões e reembolsos parcialmente paralisado
• O contribuinte britânico, que indiretamente assume parte da fatura de £29 milhões em prejuízo e custos de recuperação
• Operadoras de saúde nos EUA — SSM Health e Sutter Health — vinculadas a intrusões paralelas atribuídas a Flowers
• Empresas que operam infraestrutura crítica em setores como transporte, energia e saúde, que continuam alvos preferenciais do Scattered Spider
• Times de help desk e service desk, que historicamente são o ponto de entrada via engenharia social usado pelo grupo

Análise

O caso TfL ilustra três tendências consolidadas em 2026. A primeira é a juventude do operador de ponta dos coletivos modernos — Flowers tinha 16 anos quando o ataque ocorreu. O perfil de adolescentes anglófonos integrados a comunidades como The Com, com facilidade para vishing nativo em inglês e canais de coordenação no Telegram, continua sendo o principal motor humano por trás de operações que combinam baixa sofisticação técnica e impacto sistêmico desproporcional.

A segunda tendência é a internacionalização do dossiê: ao demonstrar conexão de Flowers com a SSM Health e a Sutter Health, a investigação britânica fortalece o argumento de cooperação transfronteiriça com agências americanas, em um modelo que se repete em casos como o de MGM/Caesars (2023) e Marks & Spencer (2025). É a confirmação prática de que o Scattered Spider é menos um grupo fechado e mais uma confederação fluida de jovens, com infiltrações múltiplas e simultâneas.

A terceira tendência diz respeito ao retorno do braço judicial. Por anos, equipes de resposta argumentaram que dissuasão era praticamente inexistente — invasores recebiam atenção midiática, eram tema de notícias, e raramente eram alcançados. As prisões e a aproximação do julgamento de Jubair e Flowers, somadas a movimentos como a queda da infraestrutura do BlackSuit e do Lockbit no biênio anterior, sinalizam que o pêndulo começa a se mover. Não impede novos ataques, mas eleva o custo individual de ingressar nesses círculos — especialmente para perfis menores de idade quando o crime é cometido.

Recomendações práticas

• Endurecer processos de help desk: exigir autenticação fora de banda (callback para número cadastrado, validação por gerente direto) antes de qualquer reset de senha ou registro de MFA — o vetor preferido do Scattered Spider.
• Treinar equipes de atendimento contra vishing com cenários realistas, incluindo simulações de pressão emocional e urgência fabricada.
• Adotar phishing-resistant MFA (FIDO2, chaves de segurança em hardware ou passkeys) para administradores, funcionários de TI, finanças e equipes de identidade.
• Monitorar agressivamente ativações de MFA em novos dispositivos, mudanças de número de telefone associado a SSO e janelas de bloqueio do help desk.
• Em operações de infraestrutura crítica (transporte, energia, saúde), revisar planos de resposta com foco em continuidade de serviços públicos — não apenas restauração técnica.
• Compartilhar IOCs e TTPs com pares de setor: a NCA destaca colaboração internacional como diferencial decisivo no caso TfL.
• Manter registros forenses inquebráveis (logs íntegros, identidade auditável, retenção mínima de 12 meses) — material como o usado contra Jubair e Flowers depende dessa cadeia de evidência.

Fonte: Help Net Security