Um júri de Londres concluiu que um membro de 18 anos da gangue de extorsão de dados Lapsus$ auxiliou a hackear várias empresas de alto perfil, roubou dados delas e exigiu um resgate ameaçando vazar as informações.
Acredita-se que Arion Kurtaj, de Oxford, Inglaterra, seja um dos líderes do grupo e foi preso duas vezes em 2022, a primeira em janeiro e novamente em março, em conexão com as atividades de hacking da Lapsus$.
Ele está sendo julgado por invadir a empresa fintech Revolut, o serviço de compartilhamento de carros Uber e o desenvolvedor de jogos Rockstar Games.
Organizações de alto perfil afetadas pela Lapsus$ também incluem Microsoft, Cisco, Okta, Nvidia, T-Mobile, Samsung, Vodafone, Ubisoft, 2K e Globant.
Kurtaj é autista e não foi considerado apto para comparecer ao tribunal.
No entanto, foi pedido ao júri que determinasse se ele era responsável pela suposta atividade de hacking, ignorando a intensão criminosa.
O adolescente é suspeito de ter invadido o armazenamento em nuvem da Polícia da Cidade de Londres depois de ser preso em conexão com o ataque à operadora de celular EE.
Acredita-se que após isso, com a ajuda de alguns membros da Lapsus$, Kurtaj mirou a Revolut, Uber e Rockstar Games, exigindo milhões de dólares em resgates.
Usando o pseudônimo 'teapotuberhacker' e enquanto estava em liberdade condicional em um hotel, Kurtaj vazou vídeos de gameplay do inédito Grand Theft Auto 6, obtidos após invadir o servidor Slack e a wiki Confluence do desenvolvedor do jogo.
Kurtaj usou mais de uma dezena de nomes online, entre eles White e Breachbase, e acredita-se que tenha feito mais de 300 BTC com sua atividade de hacking, incluindo troca de SIM.
A maior parte do dinheiro foi perdida em apostas ou para hackers que invadiram o computador de White, supostamente duas vezes.
Kurtaj não é o único adolescente sendo julgado por atividades de hacking relacionadas à Lapsus$.
Outro membro da gangue, um jovem de 17 anos também sofrendo de autismo, foi condenado por invadir empresas também.
Apesar de ser um grupo pouco organizado e composto principalmente por adolescentes, Lapsus$ conseguiu invadir organizações com alto nível de segurança.
Um recente relatório do governo dos EUA observa que a gangue usou técnicas de baixo custo para revelar "pontos fracos em nossa infraestrutura cibernética."
Os membros do grupo levaram a troca de SIM a um novo patamar, pagando US$ 20.000 por semana por acesso à plataforma de um provedor de telecomunicações, o que lhes permitiu sequestrar números de telefone direcionados e obter códigos de passe únicos para várias contas.
A atividade da Lapsus$ se espalhou de 2021 a 2022 e envolveu indivíduos do Reino Unido e do Brasil que usaram engenharia social e técnicas de hacking de várias complexidades para invadir empresas por fama, ganho financeiro e diversão.
No ano passado, em setembro, a atividade da Lapsus$ encerrou-se, pois as autoridades policiais começaram a prender vários membros do grupo: vários indivíduos no Reino Unido e outro no Brasil.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...