Scattered Spider: suposto membro Peter Stokes é extraditado aos EUA por ataque a varejista de joias

Peter Stokes, cidadão com dupla nacionalidade Estados Unidos e Estônia, foi extraditado da Finlândia para Chicago nesta semana e agora responde por conspiração, intrusão cibernética e fraude. O jovem de 19 anos é apontado pelo FBI como integrante do grupo cibercriminoso Scattered Spider e teria participado do ataque contra uma varejista de joias de luxo, com resgate de US$ 8 milhões em criptomoedas.

O que aconteceu

Stokes fez sua primeira aparição em corte federal no Distrito Norte de Illinois na última terça-feira, segundo o Departamento de Justiça dos EUA. A denúncia criminal do FBI o acusa de participar de um ataque a uma empresa referida como “Company F” em maio de 2025, além de acesso não autorizado à rede de uma “plataforma de comunicação online” (Company H) em março de 2023.

Preso pelas autoridades finlandesas em abril após um alerta vermelho da Interpol, Stokes usava os codinomes “Bouquet”, “Spencer” e “Jordan” nos fóruns e canais em que operava. A investigação identificou o uso de números do Google Voice para ligar diretamente para as centrais de suporte da vítima e solicitar reset de senha e de dispositivo de MFA — um vetor típico do Scattered Spider e responsável por várias das maiores intrusões dos últimos dois anos.

Como o ataque funcionou

De acordo com a queixa criminal, os invasores se passaram por funcionários da varejista e pediram ao help desk a redefinição de credenciais, incluindo senha e o dispositivo móvel de MFA. Com o novo acesso, escalaram para contas com maior privilégio, exfiltraram dados corporativos e depois exigiram US$ 8 milhões em criptomoeda para não publicá-los. A empresa não pagou, mas o FBI diz que as perdas em interrupção operacional, investigação e mitigação foram substanciais.

Para manter presença persistente na rede da vítima, os atacantes usaram o ngrok — ferramenta legítima de exposição de tráfego — como túnel reverso para o data center da empresa. Essa é uma técnica classicamente associada ao Scattered Spider, que combina engenharia social telefônica com abuso de ferramentas comerciais legítimas (LOTL) para escapar de EDR e SIEM.

“Os atores da ameaça se passaram por usuários funcionários da Company F e solicitaram a redefinição de suas credenciais de autenticação, incluindo senha e dispositivo móvel para autenticação multifator”, registrou o FBI na queixa criminal.

Análise

A extradição de Stokes marca mais um capítulo na cooperação internacional para desmontar o Scattered Spider, também conhecido como UNC3944 e Octo Tempest. O grupo — composto majoritariamente por adolescentes e jovens adultos em países ocidentais — combina engenharia social nativa em inglês, familiaridade com processos internos de suporte técnico e execução ágil de ransomware. Foi o mesmo modus operandi por trás de ataques que paralisaram cassinos em Las Vegas, atingiram redes de saúde e viraram estudo de caso obrigatório em programas de segurança.

A prisão anterior de outros supostos membros — incluindo o caso do britânico Tyler Buchanan em 2024 — não interrompeu a operação; o grupo apenas se realinhou. A demora entre a intrusão inicial (maio de 2025) e a extradição (julho de 2026) é sintomática do custo processual da resposta transnacional a esse tipo de crime, mesmo quando há colaboração explícita entre agências europeias e norte-americanas.

Para empresas brasileiras, a lição prática está no vetor: o ataque não começa em zero-day sofisticado, começa em uma ligação para o help desk. Enquanto reset de senha e re-provisionamento de MFA seguirem sendo processos que dependem de confiança em uma voz ao telefone, o Scattered Spider (e imitadores locais) continuarão tendo caminho aberto — inclusive em bancos, redes de varejo, healthcare e utilities.

Riscos e limitações

  • Reset de senha e reenrollment de MFA por telefone continua sendo vetor primário — mesmo com FIDO2 no login, se o help desk aceita telefone para bypass, todo o programa cai
  • Uso de ferramentas legítimas (ngrok, Google Voice, SaaS de suporte remoto) escapa da detecção baseada em assinatura
  • Vítimas seguem sendo expostas ao double extortion — mesmo sem pagamento, custo de resposta e reputação supera facilmente milhões
  • Prisões individuais não desmontam o grupo: Scattered Spider funciona como comunidade descentralizada com rotatividade rápida

Recomendações práticas

  • Rever integralmente o playbook do help desk: exigir múltiplos fatores fora-de-banda para qualquer reset de MFA e de senha, com aprovação de gestor documentada
  • Bloquear ou monitorar de forma agressiva o uso de ferramentas de tunelamento como ngrok, Cloudflare Tunnel, LocalXpose em redes corporativas
  • Aplicar autenticação resistente a phishing (FIDO2/passkeys) em todas as contas administrativas e de suporte, sem exceções
  • Executar exercícios de vishing (phishing por voz) periodicamente contra o próprio suporte, tratando falhas como incidente
  • Correlacionar logs de identidade (Entra ID/Okta) com eventos do help desk — resets seguidos de logins de países novos são sinal claro
  • Compartilhar TTPs do Scattered Spider (UNC3944/Octo Tempest) com o time de threat hunting: uso de RMM como AnyDesk/ScreenConnect, criação de contas de administrador com nomes plausíveis, staging em Azure/AWS

Fonte: The Record

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Recent Posts

BioShocking: pesquisadores enganam navegadores agênticos (ChatGPT Atlas, Comet, Claude Chrome) e extraem credenciais

LayerX mostra que ChatGPT Atlas, Comet (Perplexity), Fellou, Genspark, Sigma e Claude Chrome podem ser…

6 horas ago

SharePoint na mira: CVE-2026-45659 entra no KEV da CISA após exploração ativa

CISA colocou a CVE-2026-45659 (RCE de desserialização, CVSS 8.8) no catálogo KEV e deu às…

6 horas ago

Citrix corrige seis falhas no NetScaler, incluindo nova CitrixBleed (CVE-2026-8451) e HTTP/2 Bomb descoberto pelo Codex

Boletim emergencial da Citrix traz correções para info-leak estilo CitrixBleed no parser XML do NetScaler…

1 dia ago

Nissan confirma vazamento de dados de funcionários após zero-day CVE-2026-35273 no Oracle PeopleSoft

Montadora expõe SSNs, dados bancários e fiscais de empregados nos EUA, Canadá, México e Brasil…

1 dia ago

DeepSeek gera ransomware que roda dentro do Chrome e criptografa arquivos via File System Access API

Check Point identifica primeiro caso documentado em que uma IA de fronteira, sozinha, transformou risco…

1 dia ago

Vazamento da Aflac Japão atinge 4,38 milhões de clientes após dez dias de acesso indevido ao portal de apólices

A subsidiária japonesa da Aflac confirmou em filing à SEC que invasores acessaram o portal…

2 dias ago