Você já conhece os grupos cibercriminosos Lapsus$, Scattered Spider e o ShinyHunters. Você conhece até mesmo o Scattered Lapsus$ Hunters, responsável pelo ataque à Salesforce e Salesloft, registrado no início deste semestre.
Mas você sabe a história por trás desses grupos? E o adolescente, fundador do Lapsus$, que criou um dos maiores impérios do cibercrime e ameaçou vazar o código do GTA 6 depois de atacar a produtora do jogo por meio de um FireTV de um quarto de hotel — e atualmente está preso?
O TecMundo acompanha as atividades desses grupos desde o início, do triunfo do Lapsus$, a prisão de Arion Kurtaj, jovem de 20 anos que liderava o grupo cibercriminoso, que culminou no hiatus das atividades do coletivo.
E hoje, queremos te contar como todos esses agentes do cibercrime (Lapsus$, Scattered Spider e o ShinyHunters) se juntaram para formar o grupo que rendeu um dos maiores ataques cibernéticos do ano. E nem sempre agiam pelo dinheiro.
De onde veio o Lapsus$?
Essa história começa em 2015, com as primeiras atividades do coletivo brasileiro Cyberteam, que de 2015 à 2020, realizou ataques DDoS e defacement no Brasil. O Lapsus$ surgiu de uma fusão do antigo Cyberteam com o Recursion Team — especializado em SIM swapping e exploração de Emergency Disclosure Requests.
Ataques de EDR exploram vulnerabilidades em um procedimento usado por agências legislativas dos Estados Unidos para conseguir dados sensíveis de empresas de tecnologia em situações de emergência. Isso quer dizer que a formação original do grupo criminoso se passava por policiais, na maioria das vezes usando e-mails reais da polícia, que eles acessavam de forma ilícita.
O primeiro ataque: Ministério da Saúde em 2021
A primeira vez que registramos um ataque público do Lapsus$ foi em 10 de dezembro de 2021 — e eles foram atrás de peixe grande. A vítima foi o Ministério da Saúde do Brasil, que teve seus sistemas totalmente comprometidos e mais de 50 terabytes de dados exfiltrados e deletados. O ataque derrubou toda a base de dados de vacinação contra a COVID-19 e rolou às 1h da manhã. O site do Ministério foi deixado fora do ar com a mensagem: “Entre em contato conosco se quiser seus dados de volta”, acompanhada de contatos de Telegram e e-mail.
A estreia do grupo marcou o que viria a ser a marca registrada do Lapsus$. Desde então os criminosos visavam ataques destrutivos, com vítimas de alto impacto e notoriedade, e comunicação pública e direta com as vítimas. Nos últimos meses de 2021, o grupo atacou empresas sul-americanas e portuguesas como a Claro e Embratel, os Correios, Impresa — companhia midiática de Portugal, e a SIC, maior canal de TV português.
A mudança de 2022: grandes empresas no radar
O Lapsus$ começou 2022 mudando completamente seu modus operandi. Em janeiro, o grupo comprometeu a conta de um engenheiro de suporte da Sitel, empresa de terceirização de processos, que prestava serviços para a Okta. A empresa, uma das maiores provedoras de autenticação corporativa, ficou exposta por 5 dias. Os criminosos fizeram a festa — de planilhas com senhas de administradores de domínio à toda a base de dados de clientes da companhia — tudo estava disponível.
O ataque rolou entre 16 e 21 de janeiro, mas o grupo se manteve na surdina até 22 de março. Foi então que eles publicaram prints que provavam a invasão à infraestrutura da Okta. A empresa nem tinha comunicado seus clientes sobre o ataque quando o grupo causou pânico geral.
NVIDIA: 1 TB de dados roubados
O foco do grupo tinha mudado: as grandes empresas eram as vítimas mais visadas. Não por dinheiro — muitas empresas se recusavam a pagar resgate — mas por visibilidade. Enquanto a Okta ainda não surtava, em fevereiro de 2022, a NVIDIA dançou. Lapsus$ foi capaz de roubar 1 terabyte de dados. Entre o material vazado estavam:
- O código-fonte das GPUs RTX 3090Ti (os arquivos que mostram como o software e o hardware das placas gráficas funcionam);
- Arquivos completos de chips gráficos, com detalhes de engenharia e design dos componentes;
- Hashes de credenciais de mais de 71 mil funcionários — versões criptografadas das senhas, que podem ser decifradas com tempo e ferramentas especializadas;
- Dois certificados de assinatura de código, usados para validar que um software é oficial da Nvidia.
Com esses certificados, hackers poderiam criar programas falsos que parecessem legítimos. O grupo tentou extorquir US$ 1 milhão da companhia para tirar os recursos que limitavam a mineração de criptomoedas de suas GPUS, mas a NVIDIA se recusou a negociar e os dados foram vazados.
Março de 2022: o mês do caos
Março de 2022 foi um mês e tanto para o grupo. No dia 4, Lapsus$ comprometeu a Samsung e vazou mais de 190 GB de código-fonte que revelam como funcionam partes internas dos softwares da empresa. Entre os arquivos estavam o código de autenticação biométrica — responsável por validar impressões digitais e reconhecimento facial — e o bootloader da linha Galaxy, o programa que inicia o sistema operacional dos celulares e controla alterações no aparelho.
Em 8 de março, o Mercado Libre, plataforma de e-commerce latino-americana foi a vítima: dados de mais de 300 mil clientes foram expostos.
Dia 10 de março foi a vez da Ubisoft, desenvolvedora de video games, que afirmou que foi invadida mas não teve nenhum dado comprometido.
Em 17 de março, a T-Mobile, de telecomunicações, teve código-fonte de diversos projetos roubados e os criminosos tentaram até acessar, sem sucesso, contas do FBI e do Departamento de Defesa dos EUA.
Microsoft e Globant: o caldo engrossou
Foi no dia 20 que o caldo engrossou. A Microsoft teve 37 GB de dados vazados — incluindo 90% do código do Bing, código do Bing Maps e Cortana. O grupo foi detectado enquanto ainda estava ativo na invasão e a big tech conseguiu interromper o ataque. Para fechar o mês, Lapsus$ invadiu a Globant, de consultoria e desenvolvimento de software, e roubou 70 GB de código-fonte de clientes como Facebook, DHL, C-SPAN, Citibank e Electronic Arts.
Como o Lapsus$ operava?
O Lapsus$ ficou conhecido não pela sofisticação técnica, mas pela engenharia social. Os cibercriminosos eram mestres em stalkear as vítimas antes do ataque. A investigação de dados prévia às invasões permitiam que o grupo chegasse muito mais longe com uma facilidade incrível. Isso porque, ao invés de gastar tempo produzindo malwares e exploits supersofisticados, uma busca no LinkedIn permitia que eles enganassem os help desks de empresas com maestria.
Claro que todos os dados usados por eles nesse tipo de exploração não estavam só em redes sociais, mas o grupo soube aproveitar vazamentos de dados anteriores para aperfeiçoar a operação. Na verdade, eles vieram no vácuo de outros grupos criminosos.
Fadiga de autenticação multifator
Os caras eram bons. Eles venciam pelo cansaço: como no caso de um ataque à Uber em setembro de 2022. Nessa ocasião, eles usaram uma técnica chamada de fadiga de autenticação multifator — que consiste em mandar um monte de notificações push de autenticação para funcionários da empresa em horários inconvenientes. Um dos colaboradores da companhia recebeu as centenas de notificações e uma suposta mensagem do TI da empresa, confirmando que ele que estava pedindo acesso. Assim, o Lapsus$ entrou no sistema da Uber.
Reinvestimento: pagando insiders
O grupo reinvestia os recursos captados com os resgates. Primeiro, eles ofereciam pagamentos de US$ 20 mil por semana para funcionários de empresas de telecomunicação que topassem ajudá-los nos golpes SIM swapping. Essa é uma técnica usada por hackers para roubar números de telefone, transferindo-os para chips sob seu controle. Assim, eles conseguem interceptar códigos de autenticação enviados por SMS e driblar a autenticação multifator. O grupo Lapsus$ usava o golpe ao enganar ou corromper funcionários de operadoras, além de empregar ataques com EDRs falsos para burlar sistemas de segurança.
Outro destino para o dinheiro arrecadado era um pouco mais extremo. O grupo anunciava em seu canal do Telegram pagamentos pra lá de generosos para funcionários e colaboradores de empresas-alvo que fornecessem credenciais, aprovassem solicitações de MFA ou instalassem ferramentas de acesso remoto. Lapsus$ levou o cibercrime a um patamar que nunca havia sido visto antes — nenhum grupo havia arriscado recrutar parceiros de forma pública.
Com os acessos, eles se sentiam em casa. Usavam ferramentas legítimas como RDP, AnyDesk, TeamViewer e comandos nativos do Windows em vez de malware customizado que seria mais facilmente detectado. Usavam ferramentas como ADExplorer e RVTools para mapear ambientes e identificar alvos valiosos.
Em alguns casos, chegaram a usar drivers vulneráveis assinados (técnica conhecida como BYOVD – Bring Your Own Vulnerable Driver) para desabilitar software de segurança. Pra tirar onda, os criminosos participavam de chamadas de resposta a incidentes das vítimas. Eles monitoravam o Slack e Microsoft Teams pra acompanhar em tempo real como as equipes de defesa reagiriam e ajustavam suas táticas. Lapsus$ chegou até a tomar controle das telas compartilhadas nas reuniões e deletar recursos ao vivo.
Scattered Spider: o grupo que buscava lucro
Enquanto Lapsus$ aproveitava a fama e o sucesso, outro grupo se formava. O Scattered Spider — ou UNC3944, Octo Tempest, Oktapus e Muddled Libra — começou as atividades em maio de 2022. Os dois grupos vieram da mesma nave-mãe: o ecossistema The Com. Essa comunidade era uma rede cibercriminosa, com mais de mil usuários adolescentes. Os jovens se reuniam para sequestrar contas do Instagram e depois começaram a mexer com operações mais pesadas. Muitos dos membros do Lapsus$ eram os mesmos do Scattered Spider. E eles levaram suas táticas e infraestrutura.
A única coisa que diferenciava os dois grupos, até esse ponto, era o objetivo de cada um. Se o Lapsus$ queria visibilidade e encarava o retorno financeiro como consequência, o Scattered buscava lucro acima de tudo. Por isso, o novo grupo passou a atuar em conjunto com operadores profissionais de ransomware.
Ataques aos cassinos de Las Vegas
Seu primeiro reconhecimento veio em setembro de 2023, quando atacaram duas companhias gigantes de cassino em Las Vegas. Os criminosos fizeram de vítimas a MGM Resorts International e a Caesars Entertainment. No ataque à MGM, eles acessaram os sistemas Okta e Azure com credenciais de administradores. O modus operandi foi o mesmo do Lapsus$, ligações para help desks com informações privilegiadas.
A operação do cassino ficou parada por 10 dias e rendeu um prejuízo de mais de US$ 100 milhões. A MGM se recusou a pagar o resgate.
A Caesars agiu diferente: pagou metade do resgate, numa transação de US$ 15 milhões, para evitar a divulgação dos dados dos clientes.
Em 2024, o Scattered Spider se uniu a outro grupo cibercriminoso: o ShinyHunters. O objetivo era executar uma campanha massiva contra ambientes Snowflake, plataforma de dados baseada em nuvem que serve para armazenar, processar e analisar grandes volumes de dados.
Em uma única campanha, os criminosos afetaram mais de 165 organizações, incluindo: Ticketmaster, Santander Bank e AT&T (telecomunicações). A telecom pagou cerca de US$ 370 mil em bitcoin para evitar a divulgação dos dados.
Prisões começam em 2024
O alto lucro colocou o Scattered Spider nos holofotes. Em julho de 2024, Tyler Buchanan, atribuído como líder do grupo, foi preso na Espanha com mais de US$ 27 milhões em bitcoin. No mês seguinte, um adolescente foi preso no Reino Unido, numa investigação que ligou o jovem ao ataque à MGM. Desde então, mais 5 pessoas foram presas por suposta ligação com o grupo.
O caso mais recente foi de Thalha Jubair. Ao todo, o jovem de 19 anos foi acusado de “conspirar para cometer fraudes cibernéticas, financeiras e lavagem de valores” — e enfrentará pena máxima de 95 anos.
Apesar do alto risco, para quem ficava no Scattered, o céu era o limite — e os alvos eram variáveis. Neste ano, o grupo atacou varejistas britânicos como Marks & Spencer, The Co-op e Harrods com o ransomware DragonForce. Em maio, se voltaram para os Estados Unidos — não só para o varejo como para seguradoras e companhias aéreas.
O adolescente por trás do GTA 6
Em setembro de 2022, vídeos de uma build inicial de desenvolvimento do GTA 6 foram vazados na internet. O video game não foi lançado até hoje, então não é difícil dizer que na época, a comoção foi grande. O criminoso responsável pelo vazamento ameaçou vender o código do GTA 5, que ainda não havia sido lançado, e pedia que funcionários da Rockstar, empresa responsável pela franquia de jogos, entrassem em contato com ele para negociar o resgate.
Ele exigia pagamentos de, no mínimo, 5 dígitos.
Ainda em setembro, poucos meses após ter conversado com o TecMundo, Arion Kurtaj, líder do Lapsus$ foi preso. Internado em uma instituição psiquiátrica, o jovem conseguiu invadir a Rockstar usando um aparelho FireStick e um telefone. Ele ainda ameaçou a empresa por meio do Slack.
Quem é Arion Kurtaj?
Conhecido na internet como SigmA, Alexander Pavlov, Lapsus$, wh1te, pornpeternew, breachbase, oklaqq, shadowariom4384, ToyotaCorrola, HackD0001, DDoSshop, OfficialPole, nutnether, ArionK4 e arion4384, ele tinha 16 anos na época dos primeiros ataques. Junto com ele foram presos mais 6 jovens que faziam parte do grupo.
O membro brasileiro permanece preso desde outubro de 2022, embora seu status legal atual seja desconhecido. Dos cinco outros indivíduos presos em março de 2022, não há informações públicas sobre seu paradeiro ou status legal.
Scattered Lapsus$ Hunters: o megazord
É ingênuo pensar que o legado de Kurtaj pararia por aí — ou que ele não serviria de inspiração para novos grupos. Em agosto deste ano, um novo grupo aparece em cena: o Scattered Lapsus$ Hunters.
Oficialmente o coletivo é um megazord da união entre Scattered Spider, Lapsus$ e ShinyHunters. Cada grupo oferecia o que tinha de especialidade:
- Scattered Spider: acesso inicial por meio de engenharia social;
- ShinyHunters: exfiltração e publicação dos dados;
- Membros do Lapsus$ (que não fizeram parte da formação original): engenharia social.
Evidências levam a acreditar que, apesar de só terem ganhado notoriedade em 2025, o grupo já estava ativo desde 2024.
O ataque à Salesforce e Salesloft
Entre outubro de 2024 e setembro de 2025, o grupo realizou uma campanha sofisticada contra a Salesforce e centenas de empresas globais. A ação combinou dois vetores principais, interligados entre si.
A primeira onda, conhecida como UNC6040, utilizou vishing, ou phishing por voz, para enganar funcionários da Salesforce. Os atacantes ligavam se passando por equipes de TI e utilizavam inteligência artificial para simular vozes e sotaques realistas, escalando ataques para milhares de alvos simultaneamente.
Por meio desse método, conseguiam induzir os funcionários a autorizar “Connected Apps” maliciosos na plataforma, gerando tokens OAuth de longa duração que ignoravam a autenticação multifator. Isso permitiu acesso persistente e programático aos dados do CRM, sem deixar rastros óbvios.
O grupo afirma ter roubado entre 989 milhões e 1,5 bilhão de registros
A segunda onda, UNC6395, explorou a cadeia de suprimentos. O grupo comprometeu o GitHub da Salesloft e o ambiente AWS do chatbot Drift, que se integra à Salesforce, extraindo tokens OAuth que abriram acesso a instâncias de centenas de organizações.
Entre março e agosto de 2025, atacantes acessaram dados de empresas de tecnologia, cibersegurança, aviação, varejo, luxo e finanças, incluindo:
- Google;
- Cloudflare;
- Palo Alto Networks;
- Qantas;
- Allianz Life;
- Kering/Gucci.
O foco do ataque estava nos tickets de suporte da Salesforce, que frequentemente armazenam credenciais, chaves AWS, tokens Snowflake e senhas em texto claro. Estima-se que a campanha tenha afetado mais de 700 organizações, embora apenas um subconjunto tenha sido confirmado publicamente.
O grupo afirma ter roubado entre 989 milhões e 1,5 bilhão de registros, abrangendo informações pessoais sensíveis, dados de clientes, credenciais corporativas, tokens de acesso, nomes completos, números de documentos,endereços, emails, telefones, histórico de compras, informações de programas de fidelidade e dados de cartões de pagamento em alguns casos.
Cada setor sofreu impactos diferentes: companhias de aviação tiveram bancos de dados de programas de fidelidade expostos, marcas de luxo vazaram perfis de clientes high-net-worth, e seguradoras tiveram informações de apólices e segurados comprometidas.
A extorsão: US$ 1,3 milhão em bitcoin
O grupo exigiu da Salesforce um pagamento de 20 bitcoins, cerca de US$ 1,3 milhão, para não divulgar os dados de 39 empresas listadas, e ameaçou liberar registros, acionar escritórios de advocacia em litígios, informar reguladores nos EUA e Europa e publicar documentação supostamente revelando negligência da companhia.
A Salesforce, por sua vez, negou que sua plataforma tenha sido comprometida e afirmou que não há evidências de vulnerabilidades exploradas nos sistemas, mantendo suporte ativo aos clientes afetados.
O que dizem os especialistas?
Especialistas em segurança destacam que o Scattered Lapsus$ Hunters demonstra uma evolução em relação ao Lapsus$ original, incorporando lições das prisões anteriores, exploração de terceirizados e consultorias como multiplicadores de acesso, e parcerias com outros grupos, como o Crimson Collective. O grupo também reivindicou ataques recentes ao Discord e ao Zendesk.
O Scattered Lapsus$ Hunters confirmou que encerraram as atividades. Membros do grupo reafirmaram a informação por meio de uma carta publicada nos canais de comunicação da gangue.
De acordo com eles, o grupo permanecerá em silêncio e escondidos – pelo menos com essa identidade. Eles já afirmam, no entanto, que é possível que o nome do grupo ainda seja ouvido nos próximos meses. Porque há ataques cujos resgates ainda não foram negociados com as vítimas.
Na última sexta-feira, o grupo deu as caras com outro modus operandi. Dessa vez, criaram um site para negociar o resgate de mais um vazamento massivo de clientes Salesforce. Agora, se não houver negociação até 10 de outubro de 2025, os dados serão expostos.
Ao todo, o Scattered LAPSUS$ Hunters afirma ter obtido mais de 1 bilhão de registros. Empresas como Disney, Hulu, McDonalds, Cisco, KFP, Cartier, Chanel, Puma, HBO Max e Fujifilm são citadas no site.
Entre prisões de membros e ataques à big techs, o que podemos fazer é esperar os próximos capítulos desta história.
Denúncias ao TecMundo
O TecMundo apoia o trabalho de hackers éticos, nossos canais de contato são:
