Suposto membro do grupo Scattered Spider é extraditado para os EUA após prisão na Finlândia
Aprofundamento CEVIU
Aprofundamento
Peter Stokes, de 19 anos, é o segundo membro do Scattered Spider preso e extraditado para os EUA em menos de três meses, depois de Tyler Buchanan, que se declarou culpado em abril. Diferente de Buchanan, cujo foco foi o roubo direto de criptomoedas via phishing e acesso a carteiras, Stokes é acusado de atuar na fase crítica de engenharia social e invasão inicial: manipular funcionários de empresas-alvo para obter credenciais válidas, como fez no caso da joalheira de luxo em maio de 2025. O DOJ detalha que o grupo usou técnicas de vishing com scripts pré-ensaiados, simulação de suporte técnico e até clonagem de vozes para contornar MFA, um padrão já observado em ataques anteriores ao Grupo Boticário e à operadora TIM Brasil, embora não citados oficialmente no processo.
O caso reforça uma mudança tática confirmada por relatórios recentes da Mandiant e da CISA: o Scattered Spider migrou de ataques massivos com ransomware genérico para operações discretas, com foco em exfiltração silenciosa de dados sensíveis (PII, credenciais, dados financeiros) e chantagem direta, sem necessariamente criptografar sistemas. Isso reduz o tempo de detecção e dificulta a resposta baseada em assinaturas tradicionais de EDR/XDR.
O que mudou
Em abril, a cobertura CEVIU relatava apenas a prisão de Stokes na Finlândia e acusações ainda sob sigilo. Agora, o DOJ descreveu publicamente o papel dele na conspiração, incluindo o ataque à joalheira em maio de 2025, evento que não constava do relato anterior. Também houve confirmação formal de que Stokes fazia parte da célula responsável por operações de 'initial access' (acesso inicial), não por execução de ransomware. Isso contrasta com o perfil de Buchanan, que atuava mais tarde na cadeia, no estágio de monetização via roubo de criptoativos.
Por que isso importa
Stokes é o primeiro acusado do Scattered Spider cujas ações foram vinculadas diretamente a um ataque bem-sucedido de exfiltração seguido de chantagem, sem pagamento, mas com prejuízo real de $2 milhões só em resposta e contenção. Isso mostra que o dano não depende de ransomware instalado: basta a ameaça crível de vazamento. Empresas brasileiras com operações nos EUA ou dados de cidadãos americanos estão agora sob risco legal ampliado pelo CFAA e pela Lei de Proteção de Dados dos EUA (CPRA), mesmo que o ataque tenha origem fora do país. A extradição também sinaliza que a Finlândia passou a priorizar cooperação em crimes cibernéticos com os EUA, um precedente relevante para jurisdições como Brasil e Portugal, que ainda enfrentam entraves legais nesse tipo de pedido.
Linha do tempo
Tyler Buchanan, membro do Scattered Spider, se declara culpado por fraude eletrônica e roubo de criptomoedas nos EUA
CEVIU noticia a prisão de Peter Stokes na Finlândia, com acusações ainda não detalhadas
Stokes é extraditado para Chicago e acusado formalmente por conspiração, invasão de computadores e fraude eletrônica
Perguntas frequentes
O que é o Scattered Spider e por que ele assusta tanto os times de segurança?
É um grupo de cibercriminosos especializado em engenharia social avançada, principalmente vishing e phishing por telefone, para roubar credenciais corporativas. Diferente de outros grupos, ele evita ferramentas de ransomware óbvias e prefere exfiltrar dados em silêncio, depois chantagear as vítimas com vazamento iminente. Já causou mais de US$ 100 milhões em pagamentos e danos.
Por que a prisão de Stokes é diferente da de Tyler Buchanan?
Buchanan atuava na etapa final: roubo de criptomoedas após obter acesso. Stokes é acusado de liderar a fase inicial, enganar funcionários para conseguir credenciais válidas, contornar autenticação multifator e abrir portas para outros membros. São funções distintas na cadeia de ataque, com perfis técnicos e operacionais diferentes.
Empresas brasileiras correm risco real com esse grupo?
Sim. O Scattered Spider já mirou alvos com operações nos EUA, mas também empresas globais com infraestrutura exposta, como provedores de TI, call centers e fornecedores de serviços financeiros. Relatos não oficiais indicam tentativas contra empresas brasileiras em 2024 e 2025, especialmente em setores com alto volume de atendimento telefônico.
O que muda na prática para equipes de segurança depois dessa extradição?
A pressão aumenta sobre treinamento de pessoal em vishing, validação de chamadas recebidas e políticas rigorosas de compartilhamento de senhas. Ferramentas de detecção baseadas em comportamento de login (não só em IPs suspeitos) ganham prioridade. Também cresce a necessidade de monitoramento de dados vazados em fóruns underground, pois o grupo costuma anunciar alvos antes de atacar.
Fontes
- justice.govfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 03 de julho de 2026
- Editoria
- CEVIU Segurança da Informação

