Dois membros de destaque do coletivo Scattered Spider foram condenados nesta quinta-feira a cinco anos e seis meses de prisão pelo ataque cibernético de 2024 contra a Transport for London (TfL), no que autoridades britânicas descreveram como a maior ação penal por crime cibernético já levada a um tribunal do Reino Unido. Thalha Jubair, 20, e Owen Flowers, 18, se declararam culpados sob o Section 3ZA do Computer Misuse Act — apenas a segunda condenação da história pelo dispositivo mais grave da lei britânica, que prevê prisão perpétua. O ataque paralisou 148 sistemas internos, obrigou 27.000 funcionários a comparecer presencialmente para reset de senha e custou £29 milhões (US$ 39 milhões) em recovery.
A sentença foi anunciada na Woolwich Crown Court e encerra o processo criminal contra os dois operadores do Scattered Spider ligados diretamente à invasão da Transport for London. Jubair, de East London, e Flowers, de Walsall, no West Midlands inglês, se declararam culpados no primeiro dia de julgamento em junho, evitando o processo completo, mas assumindo o risco integral da pena estruturada.
O ataque à TfL, um dos episódios mais visíveis do calendário de intrusões de 2024 na Europa, forçou a autoridade de transporte a reconstruir do zero seu perímetro de acesso interno. Ainda que os trens e ônibus tenham continuado circulando — a rede operacional não foi paralisada —, o dano administrativo foi profundo: sistemas de reembolso de Oyster ficaram indisponíveis, aplicações para o Oyster photocard usado por crianças e jovens foram suspensas temporariamente, e todos os 27.000 funcionários tiveram que aparecer fisicamente em pontos designados para redefinir credenciais, procedimento que levou semanas.
A National Crime Agency (NCA) enquadrou os réus sob o Section 3ZA, dispositivo introduzido no Computer Misuse Act para punir atividades não autorizadas com potencial de dano grave a infraestrutura crítica ou bem-estar público. É o instrumento mais duro da legislação britânica em cibercrime, e esta é apenas a segunda condenação registrada por ele — o que sinaliza uma mudança de tom das autoridades no tratamento de grupos de crime organizado digital.
O Scattered Spider — também rastreado como UNC3944 e Octo Tempest por diferentes vendors — é uma rede frouxamente organizada de cibercriminosos anglófonos, majoritariamente jovens do Reino Unido e Estados Unidos. Ao contrário dos grupos APT patrocinados por Estado, o Scattered Spider opera com engenharia social pesada: vishing de help desks, MFA fatigue, SIM swap e roubo de credenciais como vetores iniciais. Depois de dentro, o playbook varia entre implantação de ransomware, exfiltração para extorsão dupla e revenda de acessos.
Nas buscas domiciliares dos réus, investigadores da NCA encontraram laptops, desktops, discos externos e dispositivos USB. Um dos laptops continha um screenshot que mostrava a conexão ativa à infraestrutura da TfL. Vídeos gravados por Flowers registravam Jubair acessando sistemas da autoridade de transporte durante a intrusão — provas que dispensam a necessidade de reconstrução forense complexa. A coordenação entre os dois se dava por Telegram e um workspace colaborativo online, canais tornados evidência primária do plano coletivo.
“Scattered Spider foi a ameaça mais significativa de cibercrime enfrentada pelo Reino Unido nos últimos anos. Com esta investigação, desestabilizamos essa ameaça e trouxemos operadores-chave à justiça.”
Paul Foster, deputy director da National Cyber Crime Unit da NCA
Jubair recebeu acusação adicional por se recusar a fornecer senhas e PINs dos dispositivos apreendidos — infração distinta sob a legislação britânica que criminaliza a obstrução de descriptografia durante investigação. Flowers foi rearrestado durante a instrução processual por violar condições de liberdade provisória relacionadas ao uso de dispositivos eletrônicos.
A condenação do TfL fecha um capítulo, mas não o livro. O Scattered Spider já foi ligado a intrusões contra MGM Resorts, Caesars Entertainment, clientes Snowflake, Marks & Spencer, Co-op no Reino Unido, seguradoras norte-americanas e uma série de companhias aéreas. As prisões de setembro de 2024, segundo a própria NCA, desestabilizaram operações, mas o grupo é celular e sua estrutura descentralizada permite reconfigurações rápidas. Analistas independentes, incluindo o time da Microsoft, corroboraram a leitura de que o núcleo mais experiente foi neutralizado — mas o modelo de recrutamento no Telegram e em comunidades gaming continua ativo.
O caso também expõe uma tensão que ainda incomoda CISOs de infraestrutura crítica: o vetor inicial mais provável em Scattered Spider é o help desk humano, não a interface técnica. Nenhum firewall detém um analista sob pressão que aceita resetar uma senha por telefone com verificação frouxa. A resposta operacional exige revisar processos de suporte, exigir validação por segunda via em pedidos sensíveis e treinar times de service desk para reconhecer engenharia social sofisticada — passos culturais, não configurações de produto.
Em segundo plano, a sentença de cinco anos e meio serve como calibração: é menos do que muitos esperavam para um dano de £29 milhões contra infraestrutura crítica, mas é significativamente maior do que a média histórica de condenações por cibercrime na Europa. A mensagem enviada — Section 3ZA aplicado com peso — cria precedente para acusações futuras contra afiliados de ransomware que operem a partir de solo britânico.
Fonte: The Record
Splunk e Zoom publicam correcoes criticas. Destaque: CVE-2026-53412 (CVSS 9.8) no Zoom Workplace para Windows…
Group-IB identifica ClickLock, infostealer inedito para macOS que mata apps a cada 210 ms via…
Microsoft lanca a Frontier Company: US$ 2,5 bi, 6.000 engenheiros e clientes como LSEG, Unilever…
Google DeepMind publica metodo para medir a saliencia de valores geoculturais em alinhamento - e…
Meta acelera Prometheus (1GW em 2026) e Hyperion (5GW na Louisiana, +US$ 50 bi). Zuckerberg…
Sysdig registra o JADEPUFFER: primeiro caso de ransomware totalmente conduzido por agente LLM, via CVE-2025-3248…