Dois supostos integrantes do grupo de cibercrime Scattered Spider se declararam culpados por participar de um ataque cibernético contra a Transport for London, autoridade responsável por parte essencial da infraestrutura de transporte da capital britânica. A invasão, ocorrida entre 31 de agosto e 3 de setembro de 2024, provocou interrupções por meses, expôs dados de clientes e gerou cerca de 29 milhões de libras, aproximadamente US$ 38 milhões, em perdas e custos de recuperação.

Segundo a National Crime Agency, a NCA, Thalha Jubair, de 20 anos, morador do leste de Londres, e Owen Flowers, de 18 anos, de Walsall, na região de West Midlands, admitiram ter comprometido a rede da Transport for London. Os dois deveriam ser julgados na segunda-feira, 22 de junho, no Woolwich Crown Court, mas mudaram suas declarações para culpado no primeiro dia do processo. A sentença está prevista para 16 de julho.

O caso envolve uma das organizações públicas mais sensíveis do Reino Unido. A Transport for London administra serviços ligados ao metrô, ônibus, pagamentos, cartões de transporte e sistemas digitais usados diariamente por milhões de passageiros. Embora o texto divulgado pelas autoridades não detalhe toda a cadeia técnica da invasão, a investigação aponta que os invasores obtiveram acesso à infraestrutura da TfL, acessaram sistemas internos e provocaram uma resposta emergencial de grande escala.

Uma das consequências mais visíveis foi a necessidade de todos os 28 mil funcionários da TfL comparecerem presencialmente a um escritório da organização para redefinir suas senhas. A medida indica que a contenção do incidente exigiu uma rotação ampla de credenciais, procedimento normalmente adotado quando há risco de comprometimento de contas internas, abuso de acessos legítimos ou dificuldade em determinar com precisão quais credenciais foram expostas.

O ataque também afetou serviços usados diretamente pelos passageiros. Dados do sistema de reembolsos do Oyster, a plataforma de bilhetagem inteligente utilizada no transporte público de Londres, foram acessados. O incidente prejudicou o funcionamento dos serviços de reembolso a clientes, deixando usuários sem ressarcimento por mais tempo do que o normal, e também derrubou o sistema de solicitação dos Oyster photocards com desconto, usados por crianças e jovens.

De acordo com a NCA, Jubair e Flowers faziam parte do Scattered Spider, um coletivo de cibercrime pouco hierarquizado e formado majoritariamente por hackers de língua inglesa. O grupo tem sido associado a intrusões de alto impacto contra grandes empresas dos Estados Unidos e da Europa, com vítimas em setores como aviação, seguros e varejo. Promotores norte-americanos já alegaram que o grupo extorquiu ao menos US$ 115 milhões de vítimas ao longo de três anos.

A investigação também revelou elementos importantes sobre a operação. Flowers foi preso inicialmente em 6 de setembro de 2024, poucos dias após o ataque. Durante buscas em sua residência, os investigadores apreenderam notebooks, computadores desktop, discos rígidos e dispositivos USB. Em um notebook Acer, a NCA afirma ter encontrado uma captura de tela mostrando conectividade com a infraestrutura da TfL, além de evidências de acesso a uma ferramenta online usada para venda de credenciais vazadas.

Os agentes também encontraram vídeos que, segundo a investigação, mostravam Jubair acessando sistemas da Transport for London durante a invasão. As autoridades afirmam ainda que os dois se comunicavam pelo Telegram enquanto realizavam o ataque e utilizavam uma ferramenta online de colaboração, na qual múltiplos participantes podiam trabalhar em um mesmo ambiente remoto. Esse tipo de dinâmica é compatível com operações distribuídas de cibercrime, nas quais diferentes participantes compartilham acessos, informações e tarefas durante uma intrusão.

A investigação indicou ainda que redes de duas empresas norte-americanas do setor de saúde, SSM Health Care Corporation e Sutter Health, haviam sido infiltradas e danificadas. A NCA não detalhou a extensão desses incidentes, mas as duas organizações reportaram grandes violações de dados em 2023. Flowers também enfrentou acusações relacionadas a esses acessos, enquanto Jubair recebeu uma acusação adicional por não informar senhas ou PINs de dispositivos apreendidos.

Após ser liberado sob fiança, Flowers violou as condições impostas pelas autoridades em duas ocasiões, em março e maio de 2025. O caso avançou sob algumas das acusações mais graves previstas na legislação britânica de crimes cibernéticos, incluindo conspiração para cometer atos não autorizados contra sistemas computacionais com risco de causar danos graves ao bem-estar humano ou à segurança nacional. Esse tipo de delito pode resultar em pena máxima de prisão perpétua.

Para as autoridades britânicas, o caso reforça a mudança no perfil de parte das ameaças cibernéticas de alto impacto. Ataques historicamente associados a grupos sediados no Leste Europeu ou a redes criminosas de língua russa passaram a dividir espaço com coletivos de língua inglesa, muitas vezes formados por jovens operadores com forte domínio de engenharia social, roubo de credenciais, abuso de ferramentas colaborativas e acesso a mercados clandestinos.

Paul Foster, chefe da Unidade Nacional de Crimes Cibernéticos da NCA, classificou a investigação como longa, altamente complexa e minuciosa. Segundo ele, a infiltração nos sistemas da TfL mostra que o cibercrime, apesar de muitas vezes parecer distante ou impessoal, tem consequências concretas para serviços públicos, clientes e infraestrutura crítica.

O episódio também destaca a importância da cooperação rápida entre organizações afetadas e forças de segurança. A NCA afirmou que o resultado do caso só foi possível porque a Transport for London acionou as autoridades logo no início do incidente. Em ambientes críticos, essa coordenação pode ser decisiva para preservar evidências, conter movimentações dos invasores, reconstruir a linha do tempo do ataque e reduzir o impacto operacional.