Dois dos principais integrantes do grupo criminoso cibernético Scattered Spider foram condenados a cinco anos e seis meses de prisão cada um por invadir a Transport for London (TfL) em 2024.
Owen Flowers, 18, de Walsall, e Thalha Jubair, 20, do leste de Londres, admitiram culpa no mês passado, com base na Computer Misuse Act, pela ofensiva. Eles foram descritos como jovens obcecados por computadores e socialmente isolados, que agiram como parte do grupo de crime cibernético conhecido como Scattered Spider.
A TfL, que presta serviços de transporte para mais de 8,4 milhões de londrinos, informou em 2 de setembro de 2024 que sua rede havia sido comprometida em agosto daquele ano. O ataque interrompeu sistemas internos e serviços online por meses, roubou dados pessoais de milhões de pessoas e obrigou os 27.000 funcionários da empresa a redefinir suas senhas presencialmente.
Entre os serviços e plataformas afetados estavam o Dial-a-Ride, os cartões de viagem com desconto, os pagamentos digitais e a implementação do sistema de bilhetagem por aproximação. A agência também teve sua capacidade de processar reembolsos prejudicada. Ao todo, 148 sistemas de tecnologia ficaram inoperantes, e serviços importantes foram severamente afetados.
O Tribunal da Coroa de Woolwich ouviu que os criminosos transmitiram ao vivo as 16 horas de duração do ataque. A Agência Nacional de Crimes (NCA) afirmou que o avanço de jovens hackers no Reino Unido é uma das maiores ameaças à segurança cibernética do país.
Flowers tinha 17 anos e Jubair, 18, quando invadiram a autoridade de transporte da capital às 17h de 31 de agosto. Mensagens trocadas pelo Telegram mostraram os dois se gabando de terem acesso ao banco de dados da TfL com informações de usuários do cartão Oyster. Depois, os adolescentes procuraram na lista os dados pessoais de celebridades de Londres e tentaram acessar informações bancárias.
“Scattered Spider está tecendo teias no metrô de Londres”, brincou Flowers mais tarde, em referência ao grupo pouco coordenado de jovens hackers de língua inglesa.
O grupo já foi relacionado a dezenas de outros ataques cibernéticos, inclusive contra as varejistas Marks and Spencer e Co-op. Em julho de 2025, a NCA prendeu outros quatro suspeitos de ligação com a Scattered Spider, apontados como relacionados a uma onda de ataques cibernéticos contra grandes varejistas do Reino Unido, entre eles Harrods, Marks & Spencer e Co-op.
Nos últimos dois anos, jovens e adolescentes foram presos por ataques ligados ao Scattered Spider no Reino Unido, nos Estados Unidos e na Finlândia.
Impersonando um funcionário
A invasão à TfL resultou no roubo de dados de milhões de clientes em uma ofensiva que começou em uma noite de sábado, para aumentar as chances de não serem descobertos pela equipe. Em 12 de setembro de 2024, a TfL revelou ainda que os invasores também haviam roubado dados de clientes, incluindo nomes, endereços e informações de contato.
Como revelou a BBC, o banco de dados ainda está sendo compartilhado em grupos criminosos e contém informações de até 10 milhões de clientes da TfL.
Jubair e Flowers, ambos autistas, conseguiram acesso aos dados ao enganar um atendente de suporte telefônico. Eles convenceram o funcionário a redefinir a senha de um empregado se passando por ele.
A TfL foi alertada sobre a violação pela NCA e trabalhou para expulsar os hackers, mas não antes de os criminosos obterem os dados de milhões de pessoas. A autoridade de transporte afirmou que a invasão poderia ter causado uma interrupção generalizada se sua equipe de TI não tivesse impedido os hackers, desconectando todos os funcionários e, mais tarde, isolando os sistemas da TfL da internet.
A TfL informou prejuízos e custos de recuperação de £29 milhões após o ataque. Autoridades estimaram que a economia do Reino Unido poderia ter perdido até £56 bilhões caso os threat actors tivessem conseguido paralisar a rede de transporte.
A TfL afirma que o ataque lhe custou 29 milhões de libras, valor revisado para baixo em relação às 39 milhões de libras informadas anteriormente.
O Tribunal da Coroa de Woolwich ouviu que os dois eram solitários, tinham poucos amigos fora da internet e passavam a maior parte do tempo online sem supervisão.
A polícia diz que Flowers raramente saía de casa e passava a maior parte do tempo no quarto usando o computador. Como já havia revelado a BBC, ele recebeu uma ordem de cessar e desistir por um pequeno crime cibernético em outubro de 2023, pouco depois de completar 16 anos. Meses depois, o adolescente, que morava com a avó e o tio, cometeu uma série de delitos cibernéticos.
Flowers acabou preso em setembro de 2024 por ligação com o ataque à TfL. Quatro dias depois da revelação da invasão, em 16 de setembro de 2024, agentes da Polícia da Cidade de Londres e da National Crime Agency (NCA), do Reino Unido, prenderam em suas casas Thalha Jubair e Owen Flowers.
Os investigadores flagraram Flowers em meio a uma invasão contra duas empresas de saúde dos Estados Unidos, Sutter Health e SSM Health Care Corporation, e disseram que os dispositivos apreendidos com ele continham evidências da invasão à TfL.
Vídeos da prisão mostram o adolescente rindo enquanto era levado sob custódia. Mensagens enviadas por ele mostravam brincadeiras sobre a possibilidade de os ataques “matarem um idoso de 90 anos em suporte de vida”.
Ele se declarou culpado pelas acusações relacionadas a esses ataques, além da ofensiva cibernética contra a TfL.
A polícia também apreendeu holdings de criptomoedas avaliadas em cerca de 1 milhão de libras. Embora Flowers e Jubair tenham acumulado milhões de libras em criptomoedas roubadas ou obtidas por resgate, a polícia acredita que a motivação principal era notoriedade online, e não ganho financeiro.
Assim como Flowers, Jubair já era conhecido da polícia havia anos.
O tribunal ouviu que o filho único recebeu seu primeiro laptop aos 10 anos, dado pelos pais, cuidadores que se mudaram de Bangladesh para Londres. Ele aprendeu a programar e, aos 13 anos, começou a interagir com criminosos online.
Foi preso pela primeira vez em fevereiro de 2021, aos 14 anos. Em 2023, ainda menor de idade, recebeu uma ordem de reabilitação juvenil por hackear com o grupo de crime cibernético Lapsus$, que atacou grandes empresas, incluindo Nvidia e BT. Como tinha menos de 18 anos, sua identidade não pôde ser divulgada na época.
Jubair tem 22 condenações anteriores relacionadas a invasão de sistemas, fraude e assédio. Sua defesa alegou em tribunal que o adolescente solitário e suicida teria sido, na prática, aliciado por criminosos cibernéticos mais velhos.
Ele também é procurado nos Estados Unidos por crimes cibernéticos contra 47 vítimas no país, o que teria levado ao pagamento de 115 milhões de dólares em resgates a Jubair e seus associados. O Departamento de Justiça dos EUA também apresentou acusações contra Jubair em setembro de 2025 por conspiração para cometer fraude computacional, lavagem de dinheiro e fraude eletrônica, em conexão com pelo menos 120 invasões de rede entre maio de 2022 e setembro de 2025.
Segundo documentos judiciais, esses ataques atingiram dezenas de organizações norte-americanas, incluindo entidades de infraestrutura crítica e tribunais dos EUA, e Jubair e seus comparsas extorquiram mais de US$ 115 milhões de vítimas em todo o mundo entre agosto de 2024 e julho de 2025.
Jubair se tornou um hacker de alto perfil na comunidade de crime cibernético de língua inglesa conhecida como The Com. Mas um desentendimento levou à divulgação na internet de seus dados pessoais e imagens por hackers rivais.
Alguns vídeos mostram Jubair aparentemente sendo mantido como refém e agredido, mas há suspeitas de que tudo tenha sido encenado pelo criminoso, que vivia cercado de luxo.
O Tribunal da Coroa de Woolwich ouviu ainda que, enquanto aguardavam julgamento na prisão, Jubair e Flowers foram encontrados com celulares contrabandeados. Mensagens recuperadas mostram que os dois continuavam discutindo e coordenando futuros ataques cibernéticos.
Após a sentença, Paul Foster, vice-diretor da NCA, descreveu a Scattered Spider como “a ameaça de cibercrime mais significativa ao Reino Unido nos últimos anos” e afirmou que as condenações só foram possíveis graças à cooperação precoce da TfL com as autoridades.
“É provável que essas condenações não tivessem sido possíveis se a Transport for London não tivesse colaborado com a polícia desde cedo, então eu exortaria qualquer outra organização a fazer o mesmo nessas circunstâncias”, afirmou Foster.
“Continuaremos trabalhando com parceiros no Reino Unido e no exterior para identificar os responsáveis e levá-los à Justiça.”
Ele também afirmou que o Scattered Spider ficou “fortemente enfraquecido e desorganizado” após as prisões, mas a analista de segurança cibernética Allison Nixon disse que isso faria pouco para desencorajar meninos jovens a entrar no crime cibernético.
“Os formuladores de políticas precisam tratar isso como um problema de gangue juvenil violenta, com uma cultura de grupo que idolatra a destruição da sociedade e a maximização do dano às vítimas”, afirmou.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Guardsi: qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...