O Departamento de Justiça dos Estados Unidos anunciou acusações federais contra o britânico Thalha Jubair, de 19 anos, suspeito de envolvimento em pelo menos 120 ataques cibernéticos. Entre os alvos estão empresas americanas, uma empresa de infraestrutura crítica e até mesmo o sistema judiciário dos EUA.
Jubair foi preso em Londres, em sua casa no leste da cidade, durante uma operação da Agência Nacional de Crimes do Reino Unido (NCA). No mesmo dia, ele compareceu ao tribunal ao lado de Owen Flowers, de 18 anos, acusado de participar de um ataque em 2024 contra a Transport for London — órgão responsável pelo transporte público da capital britânica. A invasão causou meses de instabilidade nos sistemas da instituição.
O grupo Scattered Spider
As autoridades atribuem os ataques ao Scattered Spider, um grupo hacker de língua inglesa formado, em sua maioria, por adolescentes e jovens adultos. Apesar da pouca idade, eles se destacam pela ousadia e pela capacidade de enganar empresas com técnicas simples de engenharia social — como se passar por funcionários que esqueceram a senha para conseguir acesso aos sistemas.
Além das invasões digitais, o grupo também estaria ligado a atividades de intimidação no mundo real, como ameaças físicas e até swatting (falsas denúncias à polícia para gerar batidas em endereços de vítimas).
Acusações nos EUA
Nos Estados Unidos, Jubair enfrenta acusações de invasão de computadores, extorsão e lavagem de dinheiro. Segundo os promotores, os ataques renderam ao grupo mais de US$ 115 milhões em resgates pagos por empresas vítimas.
O FBI afirma ter apreendido servidores controlados por Jubair, que continham:
-
provas de ataques a pelo menos 120 empresas, sendo 47 nos EUA;
-
dados roubados de uma empresa de infraestrutura crítica em Nova Jersey;
-
registros de acessos ao sistema dos tribunais federais;
-
uma carteira de criptomoedas com cerca de US$ 36 milhões (parte rastreada a pagamentos de resgate).
Os investigadores apontam ainda que, em janeiro de 2025, Jubair e outros hackers teriam usado engenharia social para acessar contas internas dos tribunais dos EUA, incluindo a de um juiz federal. A partir daí, enviaram solicitações falsas a uma empresa financeira, simulando ordens judiciais, para tentar obter dados de clientes.
E agora?
Apesar das acusações, ainda não está claro se os Estados Unidos vão pedir a extradição de Jubair. O Departamento de Justiça não comentou o assunto até o momento.
O caso reforça como grupos formados por jovens, usando táticas relativamente simples, conseguem causar prejuízos milionários a empresas e até mesmo atingir órgãos governamentais críticos.
