Um grupo prolífico de ransomware de dados que se autodenomina **Scattered Lapsus ShinyHunters** (SLSH) possui um modus operandi distinto ao buscar extorquir pagamento de empresas vítimas: assediar, ameaçar e até mesmo realizar "swatting" contra executivos e suas famílias, ao mesmo tempo em que notifica jornalistas e reguladores sobre a extensão da intrusão. Algumas vítimas estariam pagando — talvez tanto para conter os dados roubados quanto para parar os ataques pessoais crescentes. No entanto, um especialista sênior em SLSH alerta que qualquer engajamento além de uma resposta "Não vamos pagar" apenas incentiva mais assédio, observando que o histórico fragmentado e não confiável do grupo significa que a única jogada vencedora é não pagar.  Ao contrário dos grupos afiliados de ransomware russos, altamente regimentados e tradicionais, o SLSH é um grupo de extorsão em inglês indisciplinado e um tanto fluido, que parece desinteressado em construir uma reputação de comportamento consistente, onde as vítimas poderiam ter alguma medida de confiança de que os criminosos cumprirão sua palavra se forem pagos. Isso é de acordo com **Allison Nixon**, diretora de pesquisa na consultoria de segurança **Unit 221B**, sediada em Nova York. Nixon tem acompanhado de perto o grupo criminoso e seus membros individuais enquanto eles transitam entre vários canais do Telegram usados para extorquir e assediar vítimas, e ela disse que o SLSH difere dos grupos tradicionais de ransomware de dados em outros aspectos importantes que argumentam contra confiar neles para fazer qualquer coisa que digam que farão — como destruir dados roubados. # Táticas Escaladas: Além de Vazamentos de Dados Assim como o SLSH, muitos grupos tradicionais de ransomware russos empregaram táticas de alta pressão para forçar o pagamento em troca de uma chave de descriptografia e/ou uma promessa de excluir dados roubados, como publicar um blog de "envergonhamento" na dark web com amostras de dados roubados ao lado de um cronômetro, ou notificar jornalistas e membros do conselho da empresa vítima. Mas Nixon disse que a extorsão do SLSH rapidamente escala muito além disso — para ameaças de violência física contra executivos e suas famílias, ataques DDoS ao site da vítima e campanhas repetidas de "email-flooding". # Phishing para Acesso Inicial O SLSH é conhecido por invadir empresas através de phishing com funcionários por telefone, e usar o acesso obtido para roubar dados internos sensíveis. Em uma postagem de blog de 30 de janeiro, a firma de forense de segurança **Mandiant**, do **Google**, disse que os ataques de extorsão mais recentes do SLSH derivam de incidentes que ocorreram entre o início e meados de janeiro de 2026, quando membros do SLSH se passaram por pessoal de TI e ligaram para funcionários de organizações vítimas visadas, alegando que a empresa estava atualizando as configurações de MFA. "O ator da ameaça direcionou os funcionários para sites de coleta de credenciais com a marca da vítima para capturar suas credenciais de SSO e códigos de MFA, e então registrou seu próprio dispositivo para MFA", explicou a postagem do blog. # Guerra Psicológica As vítimas frequentemente descobrem a violação quando o nome de sua marca é mencionado em qualquer grupo efêmero de chat público do Telegram que o SLSH esteja usando para ameaçar, extorquir e assediar suas presas. De acordo com Nixon, o assédio coordenado nos canais do Telegram do SLSH faz parte de uma estratégia bem orquestrada para sobrecarregar a organização vítima, fabricando humilhação que os empurra para o limite de pagar. Nixon disse que vários executivos em organizações visadas foram sujeitos a ataques de "swatting", onde o SLSH comunicou uma ameaça de bomba falsa ou situação de reféns no endereço do alvo na esperança de provocar uma resposta policial fortemente armada em sua casa ou local de trabalho. "Uma grande parte do que eles fazem com as vítimas é o aspecto psicológico, como assediar os filhos dos executivos e ameaçar o conselho da empresa", disse Nixon ao KrebsOnSecurity. "E enquanto essas vítimas estão recebendo demandas de extorsão, elas estão simultaneamente recebendo contato de veículos de mídia dizendo: 'Ei, vocês têm algum comentário sobre as coisas ruins que vamos escrever sobre vocês?'" # The Com: Um Berçário para o Caos Em uma postagem de blog hoje, a Unit 221B argumenta que ninguém deve negociar com o SLSH porque o grupo demonstrou disposição em extorquir vítimas com base em promessas que não tem intenção de cumprir. Nixon aponta que todos os membros conhecidos do SLSH vêm de **The Com**, abreviação de uma constelação de comunidades focadas em cybercrime no Discord e Telegram que servem como uma espécie de rede social distribuída que facilita a colaboração instantânea. Nixon disse que grupos de extorsão baseados no Com tendem a instigar disputas e dramas entre os membros do grupo, levando a mentiras, traições, comportamentos que destroem a credibilidade, traições e sabotagem mútua. "Com esse tipo de disfunção contínua, muitas vezes agravada pelo abuso de substâncias, esses atores de ameaça frequentemente não conseguem agir com o objetivo principal em mente de completar uma operação de resgate bem-sucedida e estratégica", escreveu Nixon. "Eles perdem o controle continuamente com explosões que colocam sua estratégia e segurança operacional em risco, o que limita severamente sua capacidade de construir uma rede criminal profissional, escalável e sofisticada para resgates bem-sucedidos contínuos — ao contrário de outras organizações criminosas mais antigas e profissionais focadas apenas em ransomware." Intrusões de grupos de ransomware estabelecidos geralmente se concentram em malware de criptografia/descriptografia que permanece na máquina afetada. Em contraste, disse Nixon, o resgate de um grupo do Com é frequentemente estruturado da mesma forma que esquemas violentos de sextortion contra menores, onde membros do The Com roubam informações prejudiciais, ameaçam divulgá-las e "prometem" excluí-las se a vítima cumprir, sem qualquer garantia ou prova técnica de que cumprirão sua palavra. Ela escreve: Um componente chave dos esforços do SLSH para convencer as vítimas a pagar, disse Nixon, envolve manipular a mídia para que ela exalte a ameaça representada por este grupo. Essa abordagem também pega uma página do livro de jogadas de ataques de sextortion, disse ela, que encoraja predadores a manter os alvos continuamente engajados e preocupados com as consequências da não conformidade. "Em dias em que o SLSH não tinha um 'ganho' criminoso substancial para anunciar, eles se concentraram em anunciar ameaças de morte e assédio para manter as forças policiais, jornalistas e profissionais da indústria de cybercrime focados neste grupo", disse ela.  # Pesquisadores Visados Nixon sabe um ou dois sobre ser ameaçada pelo SLSH: Nos últimos meses, os canais do Telegram do grupo foram repletos de ameaças de violência física contra ela, contra Yours Truly, e contra outros pesquisadores de segurança. Essas ameaças, disse ela, são apenas mais uma maneira pela qual o grupo busca gerar atenção da mídia e obter um verniz de credibilidade, mas são úteis como indicadores de comprometimento porque os membros do SLSH tendem a mencionar e difamar pesquisadores de segurança mesmo em suas comunicações com as vítimas. "Observe os seguintes comportamentos em suas comunicações com você ou em suas declarações públicas", diz o aviso da Unit 221B. "Menções abusivas repetidas a Allison Nixon (ou 'A.N'), Unit 221B, ou jornalistas de cibersegurança — especialmente Brian Krebs — ou qualquer outro funcionário de cibersegurança, ou empresa de cibersegurança. Quaisquer ameaças de morte, terrorismo ou violência contra funcionários internos, funcionários de cibersegurança, investigadores e jornalistas." A Unit 221B afirma que, embora a campanha de pressão durante uma tentativa de extorsão possa ser traumatizante para funcionários, executivos e seus familiares, entrar em negociações prolongadas com o SLSH incentiva o grupo a aumentar o nível de dano e risco, o que pode incluir a segurança física de funcionários e suas famílias. "Os dados violados nunca voltarão ao que eram, mas podemos garantir que o assédio terminará", disse Nixon. "Portanto, sua decisão de pagar deve ser uma questão separada do assédio. Acreditamos que, ao separar essas questões, você verá objetivamente que o melhor curso de ação para proteger seus interesses, tanto a curto quanto a longo prazo, é recusar o pagamento."