Il gruppo di cybercriminali Lapsus$, noto per i suoi attacchi a sviluppatori di videogiochi, ha visto alcuni dei suoi membri adolescenti essere processati e condannati da un tribunale britannico. Questi giovani hacker sono stati ritenuti responsabili di una serie di compromissioni che hanno colpito diverse aziende.
Dettagli dell’attività criminale
Arion Kurtaj e un altro adolescente, il cui nome non può essere rivelato a causa della sua età, sono stati coinvolti in attacchi prolungati e ripetuti contro diverse aziende. Il noto gruppo di ransomware Lapsus$ ha guadagnato notorietà per i suoi attacchi contro aziende legate allo sviluppo di videogiochi, come Nvidia, e contro importanti compagnie di telecomunicazioni come EE e BT. Nel 2021, questi due adolescenti hanno violato i server delle compagnie di telecomunicazioni e hanno richiesto un riscatto di $4 milioni. Nonostante avessero in mano il codice sorgente di Orange, BT e EE, nessun riscatto è stato pagato. Tuttavia, sono riusciti a rubare circa $126.000 da cinque vittime sfruttando i dati SIM utilizzati per proteggere i loro account di criptovaluta.
Ulteriori attacchi e arresti
Dopo essere stati arrestati per l’incidente legato alle compagnie di telecomunicazioni, gli adolescenti sono stati rilasciati ma rimasti sotto indagine. Invece di evitare ulteriori guai, hanno continuato a collaborare con il gruppo Lapsus$, compromettendo altre aziende come Nvidia. In un attacco particolare, hanno richiesto a Nvidia di rendere open source tutti i driver delle loro schede grafiche, minacciando altrimenti di divulgare dati interni. Entrambi gli adolescenti sono stati nuovamente arrestati a marzo 2022. Kurtaj ha visto i suoi dati personali trapelare online e ha dovuto essere trasferito in un luogo sicuro.
Ulteriori dettagli sugli attacchi
Nonostante le circostanze avverse, Kurtaj ha continuato le sue attività criminali. La polizia, durante una perquisizione nella sua stanza d’albergo, ha scoperto che stava utilizzando un Amazon Fire Stick per accedere ai servizi di cloud computing. È emerso che aveva preso di mira Uber, Revolut e, in un attacco molto pubblicizzato, Rockstar Games. Ha minacciato di rilasciare il codice sorgente del prossimo Grand Theft Auto 6 e ha postato messaggi provocatori sul canale Slack di Rockstar.
Gli attacchi audaci e la mancanza di discrezione hanno portato all’arresto e al processo di Kurtaj. La procura ha sottolineato che la volontà di mostrare le proprie abilità ha portato a vari incidenti di hacking che erano difficilmente occultabili. Ora, per entrambi gli adolescenti, la loro ondata di compromissioni è giunta al termine.