O nome Scattered Spider começou a ganhar destaque neste ano e ficou ainda mais conhecido em 27 de junho de 2025, quando o FBI divulgou um alerta sobre as atividades do grupo. O Scattered Spider é apontado como responsável por vários ataques contra setores como seguros, varejo e aviação, principalmente no Reino Unido e nos Estados Unidos.
No dia 10 de julho, a Agência Nacional do Crime do Reino Unido (NCA) anunciou a prisão de quatro suspeitos de fazer parte do grupo, acusados de extorsão, lavagem de dinheiro e envolvimento com o crime organizado. Apesar de uma leve queda nas atividades após essas prisões, o grupo continua ativo e sendo monitorado pelas autoridades internacionais.
A seguir, explicamos quem são, como atuam e por que despertam tanta preocupação.
Quem é o Scattered Spider?
O grupo cibercriminoso Scattered Spider é formado, em sua maioria, por jovens anglófonos, segundo a Agência Nacional do Crime do Reino Unido (NCA). Desde 2022, a quadrilha tem se organizado por meio de plataformas como Discord, Telegram e fóruns especializados.
Reconhecido por sua expertise em engenharia social, o grupo utiliza técnicas sofisticadas para roubar credenciais, instalar ferramentas de acesso remoto e driblar sistemas de autenticação multifator (MFA). As informações são da Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA).
Entre os métodos mais comuns empregados pelo Scattered Spider estão o phishing, o push bombing (envio repetido de solicitações de autenticação para forçar a aprovação do usuário) e o SIM swapping, técnica em que o número de telefone da vítima é transferido para outro chip, permitindo o sequestro de mensagens e chamadas.
Essas estratégias geralmente têm como objetivo obter acesso inicial a redes corporativas, facilitando o comprometimento de sistemas internos. Em muitos casos, o grupo atua em parceria com grupos de ransomware, como o ALPHV/BlackCat, realizando ataques do tipo dupla extorsão, ou seja, combinação de sequestro de dados com ameaças de vazamento das informações roubadas.
Um exemplo recente foi o ataque à Marks & Spencer, no qual o Scattered Spider utilizou o ransomware DragonForce. O incidente resultou na exfiltração de dados pessoais de clientes, impactou os serviços de entrega no Reino Unido e causou prejuízos estimados em 300 milhões de libras (aproximadamente R$ 2,1 bilhões de reais).
Como o Scattered Spider ataca
"O velho ainda funciona." A frase, popularizada pelo sucesso da série da Netflix O Eternauta, resume bem a forma de atuação do Scattered Spider, que recorre a táticas clássicas de engano, como a falsificação de identidade e o abuso de confiança, para invadir sistemas e comprometer redes. Por exemplo:
Falsificação de identidade de equipes de TI
Em casos registrados no Reino Unido e nos Estados Unidos, os cibercriminosos se passaram por profissionais de TI e suporte técnico, convencendo as vítimas a executar ferramentas de acesso remoto, compartilhar senhas de uso único e até mesmo transferir o controle de seus números de telefone, permitindo assim o acesso a sistemas protegidos por autenticação multifator (MFA).
Falsificação de identidade de funcionários reais
Outra tática utilizada pelo Scattered Spider é se passar por colaboradores da própria empresa-alvo. Para isso, o grupo coleta informações disponíveis em redes sociais e dados públicos obtidos por meio de vazamentos anteriores.
Com esses dados em mãos, os cibercriminosos entram em contato com o Help Desk, fingindo ser a vítima, e solicitam a redefinição do segundo fator de autenticação. Assim, conseguem acesso ao ambiente corporativo e, utilizando ferramentas legítimas como Okta e Azure, escalam privilégios para alcançar informações críticas ou sistemas de controle.
Scattered Spider: uma aranha ainda ativa em 2025
Os principais portais de notícias sobre cibersegurança confirmam que o Scattered Spider tem sido um dos grupos cibercriminosos mais relevantes do ano, com diversos ataques atribuídos à quadrilha e padrões de atuação consistentes. Entre os meses de abril e maio, uma série de ataques direcionados a empresas do varejo foi creditada a essa organização cibercriminosa, reforçando sua presença ativa e ameaçadora no cenário global.
Marks & Spencer
A rede de lojas Marks & Spencer é um dos exemplos mais emblemáticos. A empresa teve seus serviços de entrega impactados em grande parte do Reino Unido, entre abril e junho, devido a um ataque atribuído ao Scattered Spider. O incidente resultou na exfiltração de dados pessoais de clientes e em um prejuízo financeiro estimado em cerca de 300 milhões de libras (aproximadamente R$ 2,1 bilhões de reais).
Co-op
A Co-op sofreu o roubo de dados de clientes e teve sua loja on-line afetada, mas conseguiu evitar prejuízos maiores ao identificar a tempo uma tentativa de ataque com ransomware. A resposta rápida foi decisiva: a equipe de TI optou por desconectar os serviços de TI como medida preventiva, impedindo que os cibercriminosos avançassem com o ataque.
Setor de seguros
Além do setor varejista, o Scattered Spider ampliou sua atuação e passou a mirar também o setor de seguros. Em junho, o grupo realizou ataques contra duas seguradoras nos Estados Unidos. Um dos casos foi o da Philadelphia Insurance Companies, que comunicou em seu site um acesso não autorizado à sua rede. Já a Erie Insurance enfrentou interrupções operacionais em seus sistemas como consequência do ataque.
Aviação e transporte
Longe de se limitar aos setores já atacados, o Scattered Spider continuou expandindo sua atuação, voltando-se também para as indústrias de aviação e transporte.
Em junho, uma das vítimas foi a WestJet, uma das maiores companhias aéreas do Canadá. As consequências do ataque incluíram a interrupção dos serviços internos e do aplicativo para dispositivos móveis da empresa.
Como esse não foi um caso isolado, o alerta chegou até o FBI. Em um comunicado publicado em seu perfil na rede X (antigo Twitter), a agência norte-americana descreveu as características dos ataques, como o foco em grandes empresas e seus fornecedores terceirizados de TI, e fez um alerta direto: "Qualquer pessoa dentro do ecossistema da aviação, incluindo fornecedores e contratados de confiança, pode estar em risco."
Conclusão
Casos como o do grupo cibercriminoso Scattered Spider reforçam a importância de manter a atenção constante para identificar tentativas de golpe e combater as técnicas de engenharia social frequentemente utilizadas para obter acessos não autorizados.
O modus operandi dessa quadrilha mostra como uma resposta precipitada, sem a devida análise, pode resultar na exposição de dados sensíveis de toda a organização e até mesmo em ataques de ransomware. Um artigo publicado pelo site CISO Advisor destaca que ainda não existem evidências de incidentes no Brasil, mas alerta que o alcance global e as táticas sofisticadas do grupo representam um risco iminente para organizações latino-americanas.
Por isso, mais do que contar com soluções de segurança eficazes, as empresas precisam entender que capacitação e conscientização em cibersegurança são ferramentas essenciais para proteger seus ativos mais valiosos.
