Lapsus$ teen hackers convicted of high-profile cyberattacks

ロンドンの陪審は、データ恐喝ギャング「ラプサスドル」の18歳のメンバーが複数の有名企業のハッキングを助け、データを盗み、情報漏洩を脅して身代金を要求したと認定した。

このグループのリーダーの一人と考えられている英国オックスフォード出身のアリオン・クルタージ氏は、ラプサスドルのハッキング活動に関連して、2022年に1月と3月に二度逮捕された。

同氏はフィンテック企業Revolut、配車サービスUber 、ゲーム開発会社Rockstar Gamesへの違反容疑で裁判中である。

Lapsus$ の影響を受ける著名な組織には、 MicrosoftCiscoOktaNvidiaT-MobileSamsungVodafoneUbisoft 、2K、およびGlobantも含まれます。

保釈中にデータ漏洩

クルタージさんは自閉症で、法廷に立つのはふさわしくないと判断された。しかし、陪審は、犯罪的意図を無視して、ハッキング行為の容疑者に彼が責任があるかどうかを判断するよう求められた。

このティーンエイジャーは、携帯電話会社EEへの攻撃に関連して逮捕された後、ロンドン市警察のクラウドストレージに侵入したと考えられている。

その後、クルタージは一部の Lapsus$ メンバーの協力を得て、Revolut、Uber、Rockstar Games を標的にし、数百万米ドルの身代金を要求したとされています。

クルタージ氏は「teapotuberhacker」というハンドル名を使い、ホテルで保釈中に、ゲーム開発者のSlackサーバーとConfluence wikiに侵入した後に入手した未発売の「グランド・セフト・オート6」のゲームプレイ動画を流出させた

クルタージは、White や Breachbase など、十数のオンライン名を使用しており、SIM スワッピングを含むハッキング活動で 300 BTC 以上を稼いだものと考えられています。

お金のほとんどはギャンブルやホワイトさんのコンピューターに2度侵入したハッカーによって失われたとされている。

ラプサスドル関連のハッキング活動で裁判中の十代の若者はクルタジ氏だけではない。ギャングのもう一人のメンバー、同じく自閉症を患う17歳も、同様に企業への違反で有罪判決を受けた。

Lapsus$ は、主に 10 代の若者で構成された緩やかに組織されたグループであるにもかかわらず、強いセキュリティ意識を持って組織に侵入することに成功しました。

熟練した俳優は依然として捕まる

米国政府の最近の報告書は、ギャングが低コストの手法を使用して「我が国のサイバーインフラストラクチャの弱点」を明らかにしたと指摘している。

このグループのメンバーは、通信プロバイダーのプラットフォームへのアクセスに週 2 万ドルを支払うことで、SIM スワッピングを次のレベルに引き上げました。これにより、標的の電話番号をハイジャックし、さまざまなアカウントへのワンタイム パスコードを取得できるようになりました。

Lapsus$ の活動は 2021 年から 2022 年にかけて広がり、英国とブラジルの個人が関与し、さまざまな複雑さのソーシャル エンジニアリングやハッキング技術を使用して、名声、金融ゲーム、娯楽のために企業に侵入しました。

昨年 9 月、法執行機関がこのグループの複数のメンバー、つまり英国で複数の人物 [ 1、2 ] とブラジルで別の 1 人を逮捕し始めたため、Lapsus$ 活動は停止しました。