Um adolescente acusado de pertencer ao grupo de hackers Scattered Spider foi extraditado da Finlândia para responder nos Estados Unidos por acusações de conspiração, invasão de computadores e fraude, conforme anunciado pelo Departamento de Justiça dos EUA em 1º de julho.
Peter Stokes, de 19 anos, cidadão norte-americano e estoniano, compareceu a uma corte federal em Chicago em 30 de junho, onde um juiz determinou que ele permanecesse preso.
A polícia finlandesa o prendeu em abril com base em uma Notificação Vermelha da Interpol (pedido internacional de prisão), antes da extradição no fim de junho. O caso é o mais recente de uma série de prisões que miram um grupo ligado a invasões contra cassinos, varejistas e companhias aéreas.
Os registros judiciais identificam Stokes pelo apelido online "Bouquet" e descrevem pelo menos quatro invasões, a primeira quando ele tinha 16 anos. Em um dos casos, em maio de 2025, os promotores afirmam que ele e outros invadiram uma varejista de joias de luxo, copiaram seus dados e exigiram cerca de 8 milhões de dólares em criptomoedas.
A varejista se recusou a pagar, expulsou os invasores e gastou pelo menos 2 milhões de dólares para se recuperar. De acordo com os registros, policiais finlandeses apreenderam dois discos rígidos de 2 terabytes quando abordaram Stokes no aeroporto de Helsinque, enquanto ele tentava embarcar em um voo para o Japão.
Quem é o Scattered Spider
O Scattered Spider não é uma quadrilha tradicional. Trata-se de um grupo disperso, em sua maioria anglófono, formado por jovens, muitos deles adolescentes, espalhados pelos Estados Unidos, Reino Unido e Europa.
Empresas de segurança também o monitoram sob os nomes Octo Tempest, UNC3944 e 0ktapus. Seu principal truque é simples e difícil de conter. Em vez de atacar softwares, o grupo engana pessoas.
Os membros ligam para a central de suporte técnico de TI (Tecnologia da Informação) de uma empresa, fingem ser um funcionário que perdeu o acesso e convencem os atendentes a redefinir uma senha ou aprovar um login. Depois de entrar, roubam arquivos e ameaçam vazá-los caso não sejam pagos.
O grupo é mais conhecido pelos ataques de 2023 contra a MGM Resorts e a Caesars Entertainment, que paralisaram os sistemas de cassino e hotel da MGM. Ao longo de 2025, foi vinculado a ataques contra varejistas britânicos, incluindo Marks & Spencer, Harrods e Co-op, depois a seguradoras norte-americanas e, mais tarde, a companhias aéreas — um padrão que pesquisadores de segurança descrevem como a atuação em um setor de cada vez.
O procurador-geral adjunto A. Tysen Duva afirmou que o grupo esteve envolvido em "mais de 100 invasões de rede, resultando em mais de 100 milhões de dólares em pagamentos de resgate".
Parte de uma repressão mais ampla
Stokes faz parte de uma mudança mais ampla na história do Scattered Spider: a polícia está atribuindo nomes, países e datas de julgamento a um grupo que por muito tempo operou apenas como apelidos em salas de bate-papo. Casos recentes incluem:
- Tyler Buchanan, um escocês de 24 anos, que já foi descrito como um dos líderes, se declarou culpado em uma corte dos EUA em abril de 2026 por fraude e roubo de identidade. Ele admitiu ter roubado pelo menos 8 milhões de dólares em criptomoedas por meio de campanhas de phishing que atingiram empresas como Twilio e LastPass, e enfrenta uma pena máxima legal de 22 anos de prisão.
- Noah Urban, membro da Flórida, foi condenado em agosto de 2025 a 10 anos de prisão e obrigado a restituir cerca de 13 milhões de dólares.
- Thalha Jubair e Owen Flowers, dois jovens do Reino Unido, se declararam culpados em junho de 2026 por um ataque de 2024 contra a Transport for London, a agência de transporte da capital britânica. Flowers também admitiu conspirar para invadir dois sistemas de saúde norte-americanos, a SSM Health e a Sutter Health.
Como as empresas podem se defender
O manual de operações do grupo sobreviveu às prisões. A Mandiant relatou uma queda nos ataques ligados ao grupo após as prisões de 2025, mas alertou que outras quadrilhas já estão copiando seu método.
O ponto fraco é a central de suporte, não o firewall, então as medidas que funcionam são verificações de identidade mais rigorosas antes de uma redefinição e chaves de acesso que o phishing não consegue roubar.
Um alerta conjunto dos EUA e de parceiros internacionais acrescenta que, uma vez dentro, os invasores frequentemente se escondem nas ferramentas de chat da empresa e participam das chamadas realizadas para responder ao incidente, observando quem os está caçando.
Para os investigadores, os discos rígidos apreendidos em Helsinque podem ter tanta importância quanto as próprias acusações: dispositivos apreendidos com um membro geralmente levam a outros. Stokes é presumido inocente, e seu caso ainda precisa ir a julgamento, mas o último ano deixou uma coisa clara: ser jovem, estar espalhado por diferentes países e ser bom em passar-se por alguém diante de uma central de suporte já não é suficiente para manter essa quadrilha longe dos tribunais.