Un jury londonien a découvert qu’un membre de 18 ans du gang d’extorsion de données Lapsus$ avait aidé à pirater plusieurs entreprises de premier plan, leur avait volé des données et exigé une rançon, menaçant de divulguer les informations.

Considéré comme l’un des dirigeants du groupe, Arion Kurtaj, originaire d’Oxford, en Angleterre, a été arrêté à deux reprises en 2022, d’abord en janvier puis de nouveau en mars, en lien avec l’activité de piratage de Lapsus$.

Il est jugé pour violation de la société de technologie financière Revolut, du service de covoiturage Uber et du développeur de jeux Rockstar Games.

Les organisations de premier plan touchées par Lapsus$ incluent également Microsoft, Cisco, Okta, Nvidia, T-Mobile, Samsung, Vodafone, Ubisoft, 2K et Globant.

Fuite de données pendant la libération sous caution
Kurtaj est autiste et n’a pas été jugé apte à comparaître devant le tribunal. Cependant, un jury a été invité à déterminer s’il était responsable de l’activité de piratage présumée, sans tenir compte de l’intention criminelle.

L’adolescent aurait violé le stockage cloud de la police de la ville de Londres après avoir été arrêté dans le cadre de l’attaque contre l’opérateur mobile EE.

Il est allégué qu’après cela, avec l’aide de certains membres de Lapsus$, Kurtaj a ciblé Revolut, Uber et Rockstar Games, exigeant des millions de dollars américains de rançon.

En utilisant le pseudo « teapotuberhacker » et alors qu’il était en liberté sous caution dans un hôtel, Kurtaj a divulgué des vidéos de gameplay de l’inédit Grand Theft Auto 6, obtenues après avoir violé le serveur Slack et le wiki Confluence du développeur du jeu.

Kurtaj a utilisé plus d’une douzaine de noms en ligne, parmi lesquels White et Breachbase, et aurait gagné plus de 300 BTC grâce à son activité de piratage, y compris l’échange de cartes SIM.

La majeure partie de l’argent a été perdue à cause des jeux de hasard ou des pirates informatiques qui ont piraté l’ordinateur de White, apparemment à deux reprises.

Kurtaj n’est pas le seul adolescent jugé pour activité de piratage liée à Lapsus$. Un autre membre du gang, un jeune de 17 ans également atteint d’autisme, a également été reconnu coupable de violation d’entreprises.

Bien qu’il s’agisse d’un groupe peu organisé composé principalement d’adolescents, Lapsus$ a réussi à pénétrer dans des organisations dotées d’un fort sentiment de sécurité.

Les acteurs talentueux se font toujours prendre
Un récent rapport du gouvernement américain note que le gang a utilisé des techniques peu coûteuses pour révéler « les points faibles de notre cyber-infrastructure ».

Les membres du groupe ont poussé l’échange de cartes SIM à un niveau supérieur en payant 20 000 dollars par semaine pour accéder à la plate-forme d’un fournisseur de télécommunications, ce qui leur a permis de détourner des numéros de téléphone ciblés et d’obtenir des codes d’accès à usage unique pour divers comptes.

L’activité de Lapsus$ s’est étendue de 2021 à 2022 et impliquait des individus du Royaume-Uni et du Brésil qui ont utilisé des techniques d’ingénierie sociale et de piratage de diverses complexités pour pirater des entreprises à des fins de gloire, de jeu financier et de plaisir.

L’année dernière, en septembre, l’activité de Lapsus$ s’est arrêtée, alors que les forces de l’ordre ont commencé à arrêter plusieurs membres du groupe : plusieurs individus au Royaume-Uni [1, 2] et un autre au Brésil.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *