Peter Stokes, cidadão com dupla nacionalidade Estados Unidos e Estônia, foi extraditado da Finlândia para Chicago nesta semana e agora responde por conspiração, intrusão cibernética e fraude. O jovem de 19 anos é apontado pelo FBI como integrante do grupo cibercriminoso Scattered Spider e teria participado do ataque contra uma varejista de joias de luxo, com resgate de US$ 8 milhões em criptomoedas.
Stokes fez sua primeira aparição em corte federal no Distrito Norte de Illinois na última terça-feira, segundo o Departamento de Justiça dos EUA. A denúncia criminal do FBI o acusa de participar de um ataque a uma empresa referida como “Company F” em maio de 2025, além de acesso não autorizado à rede de uma “plataforma de comunicação online” (Company H) em março de 2023.
Preso pelas autoridades finlandesas em abril após um alerta vermelho da Interpol, Stokes usava os codinomes “Bouquet”, “Spencer” e “Jordan” nos fóruns e canais em que operava. A investigação identificou o uso de números do Google Voice para ligar diretamente para as centrais de suporte da vítima e solicitar reset de senha e de dispositivo de MFA — um vetor típico do Scattered Spider e responsável por várias das maiores intrusões dos últimos dois anos.
De acordo com a queixa criminal, os invasores se passaram por funcionários da varejista e pediram ao help desk a redefinição de credenciais, incluindo senha e o dispositivo móvel de MFA. Com o novo acesso, escalaram para contas com maior privilégio, exfiltraram dados corporativos e depois exigiram US$ 8 milhões em criptomoeda para não publicá-los. A empresa não pagou, mas o FBI diz que as perdas em interrupção operacional, investigação e mitigação foram substanciais.
Para manter presença persistente na rede da vítima, os atacantes usaram o ngrok — ferramenta legítima de exposição de tráfego — como túnel reverso para o data center da empresa. Essa é uma técnica classicamente associada ao Scattered Spider, que combina engenharia social telefônica com abuso de ferramentas comerciais legítimas (LOTL) para escapar de EDR e SIEM.
“Os atores da ameaça se passaram por usuários funcionários da Company F e solicitaram a redefinição de suas credenciais de autenticação, incluindo senha e dispositivo móvel para autenticação multifator”, registrou o FBI na queixa criminal.
A extradição de Stokes marca mais um capítulo na cooperação internacional para desmontar o Scattered Spider, também conhecido como UNC3944 e Octo Tempest. O grupo — composto majoritariamente por adolescentes e jovens adultos em países ocidentais — combina engenharia social nativa em inglês, familiaridade com processos internos de suporte técnico e execução ágil de ransomware. Foi o mesmo modus operandi por trás de ataques que paralisaram cassinos em Las Vegas, atingiram redes de saúde e viraram estudo de caso obrigatório em programas de segurança.
A prisão anterior de outros supostos membros — incluindo o caso do britânico Tyler Buchanan em 2024 — não interrompeu a operação; o grupo apenas se realinhou. A demora entre a intrusão inicial (maio de 2025) e a extradição (julho de 2026) é sintomática do custo processual da resposta transnacional a esse tipo de crime, mesmo quando há colaboração explícita entre agências europeias e norte-americanas.
Para empresas brasileiras, a lição prática está no vetor: o ataque não começa em zero-day sofisticado, começa em uma ligação para o help desk. Enquanto reset de senha e re-provisionamento de MFA seguirem sendo processos que dependem de confiança em uma voz ao telefone, o Scattered Spider (e imitadores locais) continuarão tendo caminho aberto — inclusive em bancos, redes de varejo, healthcare e utilities.
Fonte: The Record
LayerX mostra que ChatGPT Atlas, Comet (Perplexity), Fellou, Genspark, Sigma e Claude Chrome podem ser…
CISA colocou a CVE-2026-45659 (RCE de desserialização, CVSS 8.8) no catálogo KEV e deu às…
Boletim emergencial da Citrix traz correções para info-leak estilo CitrixBleed no parser XML do NetScaler…
Montadora expõe SSNs, dados bancários e fiscais de empregados nos EUA, Canadá, México e Brasil…
Check Point identifica primeiro caso documentado em que uma IA de fronteira, sozinha, transformou risco…
A subsidiária japonesa da Aflac confirmou em filing à SEC que invasores acessaram o portal…