Scattered Spider: suposto membro Peter Stokes é extraditado aos EUA por ataque a varejista de joias
Peter Stokes, 19 anos, com dupla cidadania EUA/Estônia, foi extraditado da Finlândia para Chicago sob acusação de conspiração, intrusão e fraude. FBI diz que ele participou de ataque via engenharia social com resgate de US$ 8 milhões.
Peter Stokes, cidadão com dupla nacionalidade Estados Unidos e Estônia, foi extraditado da Finlândia para Chicago nesta semana e agora responde por conspiração, intrusão cibernética e fraude. O jovem de 19 anos é apontado pelo FBI como integrante do grupo cibercriminoso Scattered Spider e teria participado do ataque contra uma varejista de joias de luxo, com resgate de US$ 8 milhões em criptomoedas.
O que aconteceu
Stokes fez sua primeira aparição em corte federal no Distrito Norte de Illinois na última terça-feira, segundo o Departamento de Justiça dos EUA. A denúncia criminal do FBI o acusa de participar de um ataque a uma empresa referida como “Company F” em maio de 2025, além de acesso não autorizado à rede de uma “plataforma de comunicação online” (Company H) em março de 2023.
Preso pelas autoridades finlandesas em abril após um alerta vermelho da Interpol, Stokes usava os codinomes “Bouquet”, “Spencer” e “Jordan” nos fóruns e canais em que operava. A investigação identificou o uso de números do Google Voice para ligar diretamente para as centrais de suporte da vítima e solicitar reset de senha e de dispositivo de MFA — um vetor típico do Scattered Spider e responsável por várias das maiores intrusões dos últimos dois anos.
Como o ataque funcionou
De acordo com a queixa criminal, os invasores se passaram por funcionários da varejista e pediram ao help desk a redefinição de credenciais, incluindo senha e o dispositivo móvel de MFA. Com o novo acesso, escalaram para contas com maior privilégio, exfiltraram dados corporativos e depois exigiram US$ 8 milhões em criptomoeda para não publicá-los. A empresa não pagou, mas o FBI diz que as perdas em interrupção operacional, investigação e mitigação foram substanciais.
Para manter presença persistente na rede da vítima, os atacantes usaram o ngrok — ferramenta legítima de exposição de tráfego — como túnel reverso para o data center da empresa. Essa é uma técnica classicamente associada ao Scattered Spider, que combina engenharia social telefônica com abuso de ferramentas comerciais legítimas (LOTL) para escapar de EDR e SIEM.
“Os atores da ameaça se passaram por usuários funcionários da Company F e solicitaram a redefinição de suas credenciais de autenticação, incluindo senha e dispositivo móvel para autenticação multifator”, registrou o FBI na queixa criminal.
Análise
A extradição de Stokes marca mais um capítulo na cooperação internacional para desmontar o Scattered Spider, também conhecido como UNC3944 e Octo Tempest. O grupo — composto majoritariamente por adolescentes e jovens adultos em países ocidentais — combina engenharia social nativa em inglês, familiaridade com processos internos de suporte técnico e execução ágil de ransomware. Foi o mesmo modus operandi por trás de ataques que paralisaram cassinos em Las Vegas, atingiram redes de saúde e viraram estudo de caso obrigatório em programas de segurança.
A prisão anterior de outros supostos membros — incluindo o caso do britânico Tyler Buchanan em 2024 — não interrompeu a operação; o grupo apenas se realinhou. A demora entre a intrusão inicial (maio de 2025) e a extradição (julho de 2026) é sintomática do custo processual da resposta transnacional a esse tipo de crime, mesmo quando há colaboração explícita entre agências europeias e norte-americanas.
Para empresas brasileiras, a lição prática está no vetor: o ataque não começa em zero-day sofisticado, começa em uma ligação para o help desk. Enquanto reset de senha e re-provisionamento de MFA seguirem sendo processos que dependem de confiança em uma voz ao telefone, o Scattered Spider (e imitadores locais) continuarão tendo caminho aberto — inclusive em bancos, redes de varejo, healthcare e utilities.
Riscos e limitações
- Reset de senha e reenrollment de MFA por telefone continua sendo vetor primário — mesmo com FIDO2 no login, se o help desk aceita telefone para bypass, todo o programa cai
- Uso de ferramentas legítimas (ngrok, Google Voice, SaaS de suporte remoto) escapa da detecção baseada em assinatura
- Vítimas seguem sendo expostas ao double extortion — mesmo sem pagamento, custo de resposta e reputação supera facilmente milhões
- Prisões individuais não desmontam o grupo: Scattered Spider funciona como comunidade descentralizada com rotatividade rápida
Recomendações práticas
- Rever integralmente o playbook do help desk: exigir múltiplos fatores fora-de-banda para qualquer reset de MFA e de senha, com aprovação de gestor documentada
- Bloquear ou monitorar de forma agressiva o uso de ferramentas de tunelamento como ngrok, Cloudflare Tunnel, LocalXpose em redes corporativas
- Aplicar autenticação resistente a phishing (FIDO2/passkeys) em todas as contas administrativas e de suporte, sem exceções
- Executar exercícios de vishing (phishing por voz) periodicamente contra o próprio suporte, tratando falhas como incidente
- Correlacionar logs de identidade (Entra ID/Okta) com eventos do help desk — resets seguidos de logins de países novos são sinal claro
- Compartilhar TTPs do Scattered Spider (UNC3944/Octo Tempest) com o time de threat hunting: uso de RMM como AnyDesk/ScreenConnect, criação de contas de administrador com nomes plausíveis, staging em Azure/AWS
Fonte: The Record





