Una giuria di Londra che ha dichiarato colpevole un membro diciottenne della gang di estorsione di dati Lapsus$. L'adolescente ha svolto un ruolo chiave nell'hacking di numerose aziende di rilievo, trafugando dati e chiedendo un riscatto per evitare di diffondere le informazioni rubate.
Arion Kurtaj, considerato uno dei leader della gang, è originario di Oxford, Inghilterra, ed era già stato arrestato due volte nel corso del 2022, prima a gennaio e poi di nuovo a marzo, sempre in relazione alle attività di hacking condotte dal gruppo Lapsus$.
Il giovane è attualmente sotto processo per aver violato i sistemi di aziende di spicco come la fintech Revolut, Uber e lo sviluppatore di videogiochi Rockstar Games. Tra le organizzazioni colpite da Lapsus$ figurano anche giganti come Microsoft, Cisco, Okta, Nvidia, T-Mobile, Samsung, Vodafone, Ubisoft, 2K e Globant.
Un aspetto interessante di tutta questa storia è che Kurtaj, in realtà, è autistico e quindi non è stato giudicato idoneo per comparire in tribunale. Tuttavia, una giuria è stata chiamata a determinare la sua responsabilità per le attività di hacking, senza prendere però in considerazione qualsivoglia intento criminale.
Fra le informazioni vagliate dalla giuria, alcune di esse sostengono che l'adolescente abbia violato lo storage cloud della polizia di Londra, ovviamente dopo essere stato arrestato in relazione a un attacco nei confronti dell'operatore mobile EE, e successivamente, con la collaborazione di altri membri di Lapsus$, Kurtaj avrebbe preso di mira Revolut, Uber e Rockstar Games, richiedendo milioni di dollari in riscatto.
Infine, utilizzando l'alias 'teapotuberhacker', e durante un periodo di libertà vigilata speso in un hotel, Kurtaj ha rilasciato i celebri video di gameplay del non ancora pubblicato Grand Theft Auto 6, ottenuti dopo aver violato il server Slack, e il wiki Confluence, dello sviluppatore del gioco.
Kurtaj, in questi anni, si è avvalso di più di una dozzina di pseudonimi online, tra cui White e Breachbase. Si stima che abbia ottenuto oltre 300 BTC dalla sua attività di hacking, che includeva anche attacchi di SIM-swapping. Gran parte di questi guadagni, però, sono andati persi a causa del gioco d'azzardo e di altri hacker che avrebbero violato il computer di Kurtaj per derubarlo.
Kurtaj non è l'unico adolescente sotto processo per l'attività di hacking legata a Lapsus$. Un altro membro della gang, anch'esso diciassettenne e affetto da autismo, è stato condannato per aver violato altre aziende.
Nonostante sia un gruppo scarsamente organizzato, composto principalmente da adolescenti, Lapsus$ è riuscito a penetrare le difese di organizzazioni che godevano di un alto livello di sicurezza. Quello che fa sorridere e che un recente rapporto del governo degli Stati Uniti, ha sottolineato che Lapsus$ ha utilizzato tecniche a basso costo, per individuare i punti deboli nelle infrastrutture cibernetiche.
L'attività di Lapsus$ si è estesa dal 2021 al 2022 e ha coinvolto individui provenienti dal Regno Unito e dal Brasile, i quali hanno utilizzato tecniche di ingegneria sociale, e di hacking di diversa complessità, per violare aziende per motivi di fama, guadagno finanziario e semplice divertimento.
Nel settembre dell'anno scorso, l'attività di Lapsus$ è terminata, poiché le forze dell'ordine hanno iniziato ad arrestare diversi membri del gruppo.