Arion Kurtaj: como nasceu o império do cibercrime
Arion Kurtaj, então com 16 anos, iniciou a trajetória que resultaria em um vasto império do cibercrime ao lançar em 2021 um ataque devastador contra o Ministério da Saúde do Brasil. De lá para cá, o jovem britânico-brasileiro liderou o Lapsus$, vazou vídeos de GTA 6 a partir de um quarto de hotel e inspirou a fusão de grupos rivais em um “megazord” que abalou empresas globais.
Entre 2022 e 2023, o Lapsus$ ganhou notoriedade ao comprometer gigantes como NVIDIA, Samsung, Microsoft e Uber, preferindo a exposição pública ao resgate financeiro. A tática principal era a engenharia social, explorando help desks e a chamada “fadiga de autenticação” para burlar a verificação multifator.
Arion Kurtaj: como nasceu o império do cibercrime
Detido em 2022, Kurtaj não freou a influência sobre outros atores. Ex-membros do Lapsus$ se agruparam com o Scattered Spider – focado em lucro – e o ShinyHunters – especializados em vazamentos massivos. O resultado foi o Scattered Lapsus$ Hunters, coletivo que combinou acesso inicial por vishing, exfiltração em nuvem e divulgação pública de dados.
Dos primeiros ataques ao Ministério da Saúde ao caos corporativo
A estreia do Lapsus$ em 10 de dezembro de 2021 exfiltrou 50 TB e derrubou a base de vacinação da COVID-19. Nos meses seguintes, Claro, Embratel, Correios, Impresa e SIC enfrentaram defacements. Já em 2022, a escalada incluiu Okta, Samsung, Mercado Libre, T-Mobile e Microsoft, culminando no vazamento de 37 GB do Bing.
O “megazord” Scattered Lapsus$ Hunters
Documentos de inteligência indicam que, ainda em 2024, os três grupos passaram a operar sob a nova sigla. Em campanha contra a Salesforce e a Salesloft, os criminosos usaram vishing com vozes geradas por IA para enganar funcionários, criar Connected Apps maliciosos e emitir tokens OAuth de longa duração. A segunda fase explorou a cadeia de suprimentos, comprometendo repositórios do GitHub e ambientes AWS de parceiros, estendendo acessos a mais de 700 organizações.
O coletivo afirma ter capturado até 1,5 bilhão de registros com dados pessoais, credenciais corporativas e números de cartões. A extorsão foi fixada em 20 bitcoins (cerca de US$ 1,3 milhão), sob ameaça de notificar reguladores e divulgar informações sigilosas. A Salesforce nega falhas internas, mas mantém suporte às empresas afetadas.
Prisões e futuro incerto
As autoridades reagiram: em 2024, Tyler Buchanan, indicado como cabeça do Scattered Spider, foi preso na Espanha com US$ 27 milhões em bitcoin; no Reino Unido, outro integrante, menor de idade, foi detido por ligação ao ataque à MGM. Mesmo assim, pesquisadores da Recorded Future alertam que remanescentes podem retomar operações sob novos nomes.
Na última atualização, o Scattered Lapsus$ Hunters comunicou um “hiato”, mas abriu site para novos vazamentos e deu prazo até 10 de outubro de 2025 para negociar resgates envolvendo Disney, McDonald’s, Cisco e outras marcas.
O caso de Arion Kurtaj ilustra a evolução do cibercrime: jovens talentosos, ferramentas legítimas e parcerias estratégicas que burlam controles corporativos tradicionais.
Para aprofundar-se em como a criatividade impulsiona golpes digitais e as respostas defensivas, confira nosso conteúdo em Ciência e tecnologia e acompanhe as próximas análises.
Crédito da imagem: TecMundo/Reprodução
Postagens Relacionadas