Scattered Spider: hackers do ataque a TfL sao condenados a 5 anos e 6 meses em maior processo de cibercrime do Reino Unido
Thalha Jubair (20) e Owen Flowers (18) receberam 5 anos e 6 meses cada pelo ataque de 2024 a Transport for London. Prejuizo de 29 milhoes de libras, 148 sistemas paralisados, 27 mil funcionarios em reset presencial. Segunda condenacao da historia sob o Section 3ZA do Computer Misuse Act britanico.
Dois membros de destaque do coletivo Scattered Spider foram condenados nesta quinta-feira a cinco anos e seis meses de prisão pelo ataque cibernético de 2024 contra a Transport for London (TfL), no que autoridades britânicas descreveram como a maior ação penal por crime cibernético já levada a um tribunal do Reino Unido. Thalha Jubair, 20, e Owen Flowers, 18, se declararam culpados sob o Section 3ZA do Computer Misuse Act — apenas a segunda condenação da história pelo dispositivo mais grave da lei britânica, que prevê prisão perpétua. O ataque paralisou 148 sistemas internos, obrigou 27.000 funcionários a comparecer presencialmente para reset de senha e custou £29 milhões (US$ 39 milhões) em recovery.
O que aconteceu
A sentença foi anunciada na Woolwich Crown Court e encerra o processo criminal contra os dois operadores do Scattered Spider ligados diretamente à invasão da Transport for London. Jubair, de East London, e Flowers, de Walsall, no West Midlands inglês, se declararam culpados no primeiro dia de julgamento em junho, evitando o processo completo, mas assumindo o risco integral da pena estruturada.
O ataque à TfL, um dos episódios mais visíveis do calendário de intrusões de 2024 na Europa, forçou a autoridade de transporte a reconstruir do zero seu perímetro de acesso interno. Ainda que os trens e ônibus tenham continuado circulando — a rede operacional não foi paralisada —, o dano administrativo foi profundo: sistemas de reembolso de Oyster ficaram indisponíveis, aplicações para o Oyster photocard usado por crianças e jovens foram suspensas temporariamente, e todos os 27.000 funcionários tiveram que aparecer fisicamente em pontos designados para redefinir credenciais, procedimento que levou semanas.
A National Crime Agency (NCA) enquadrou os réus sob o Section 3ZA, dispositivo introduzido no Computer Misuse Act para punir atividades não autorizadas com potencial de dano grave a infraestrutura crítica ou bem-estar público. É o instrumento mais duro da legislação britânica em cibercrime, e esta é apenas a segunda condenação registrada por ele — o que sinaliza uma mudança de tom das autoridades no tratamento de grupos de crime organizado digital.
Como o ataque foi executado
O Scattered Spider — também rastreado como UNC3944 e Octo Tempest por diferentes vendors — é uma rede frouxamente organizada de cibercriminosos anglófonos, majoritariamente jovens do Reino Unido e Estados Unidos. Ao contrário dos grupos APT patrocinados por Estado, o Scattered Spider opera com engenharia social pesada: vishing de help desks, MFA fatigue, SIM swap e roubo de credenciais como vetores iniciais. Depois de dentro, o playbook varia entre implantação de ransomware, exfiltração para extorsão dupla e revenda de acessos.
Nas buscas domiciliares dos réus, investigadores da NCA encontraram laptops, desktops, discos externos e dispositivos USB. Um dos laptops continha um screenshot que mostrava a conexão ativa à infraestrutura da TfL. Vídeos gravados por Flowers registravam Jubair acessando sistemas da autoridade de transporte durante a intrusão — provas que dispensam a necessidade de reconstrução forense complexa. A coordenação entre os dois se dava por Telegram e um workspace colaborativo online, canais tornados evidência primária do plano coletivo.
“Scattered Spider foi a ameaça mais significativa de cibercrime enfrentada pelo Reino Unido nos últimos anos. Com esta investigação, desestabilizamos essa ameaça e trouxemos operadores-chave à justiça.”
Paul Foster, deputy director da National Cyber Crime Unit da NCA
Jubair recebeu acusação adicional por se recusar a fornecer senhas e PINs dos dispositivos apreendidos — infração distinta sob a legislação britânica que criminaliza a obstrução de descriptografia durante investigação. Flowers foi rearrestado durante a instrução processual por violar condições de liberdade provisória relacionadas ao uso de dispositivos eletrônicos.
Riscos e impacto
- Custo direto de £29 milhões — recovery, forense, comunicação de crise, sistemas rebuilt, horas extras
- Custo indireto: reputação, tempo de gestores, impacto sobre a experiência do usuário Oyster
- 27.000 funcionários mobilizados para reset presencial — impacto operacional de semanas
- 148 sistemas indisponíveis simultaneamente — ambiente forçado a operar via workarounds manuais
- Vazamento de dados de clientes no sistema de reembolso do Oyster — investigação de proteção de dados ainda em curso
- Sinal aos peers da infraestrutura crítica: negociação sob coação é inaceitável, mas a defesa preventiva ainda é fraca
Análise
A condenação do TfL fecha um capítulo, mas não o livro. O Scattered Spider já foi ligado a intrusões contra MGM Resorts, Caesars Entertainment, clientes Snowflake, Marks & Spencer, Co-op no Reino Unido, seguradoras norte-americanas e uma série de companhias aéreas. As prisões de setembro de 2024, segundo a própria NCA, desestabilizaram operações, mas o grupo é celular e sua estrutura descentralizada permite reconfigurações rápidas. Analistas independentes, incluindo o time da Microsoft, corroboraram a leitura de que o núcleo mais experiente foi neutralizado — mas o modelo de recrutamento no Telegram e em comunidades gaming continua ativo.
O caso também expõe uma tensão que ainda incomoda CISOs de infraestrutura crítica: o vetor inicial mais provável em Scattered Spider é o help desk humano, não a interface técnica. Nenhum firewall detém um analista sob pressão que aceita resetar uma senha por telefone com verificação frouxa. A resposta operacional exige revisar processos de suporte, exigir validação por segunda via em pedidos sensíveis e treinar times de service desk para reconhecer engenharia social sofisticada — passos culturais, não configurações de produto.
Em segundo plano, a sentença de cinco anos e meio serve como calibração: é menos do que muitos esperavam para um dano de £29 milhões contra infraestrutura crítica, mas é significativamente maior do que a média histórica de condenações por cibercrime na Europa. A mensagem enviada — Section 3ZA aplicado com peso — cria precedente para acusações futuras contra afiliados de ransomware que operem a partir de solo britânico.
Recomendações práticas
- Auditar processos de reset de senha em help desk: exigir callback autenticado ao número corporativo, validação em segundo canal e revisão obrigatória para credenciais privilegiadas
- Bloquear registro de MFA em novos dispositivos sem aprovação supervisionada
- Implementar detecção de SIM swap junto às operadoras de telefonia corporativa; migrar MFA de SMS para autenticadores baseados em hardware (FIDO2/WebAuthn) sempre que possível
- Simular vishing contra o próprio service desk trimestralmente e medir taxa de sucesso do atacante interno
- Rever contratos com terceirizados de suporte: quem tem acesso a reset de credenciais e sob quais controles
- Definir plano de resposta a compromissos de identidade que assuma o roubo — girar sessions, revogar tokens, invalidar refresh tokens em bloco
- Documentar canais de coordenação com NCA (ou Polícia Federal e ANPD no Brasil) antes do incidente, não durante
Fonte: The Record






