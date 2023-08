C’est officiel : un groupe d’adolescents britanniques a réussi à pirater certaines des plus grandes entreprises de la planète l’année dernière, et ils ont tout fait en utilisant des techniques de piratage assez basiques.

Le gang de cybercriminels adolescents LAPSUS$ frappe à nouveau

Cette nouvelle arrive récemment procédures judiciaires à Londres, où les membres du jury viennent de condamner deux adolescents pour avoir été membres du célèbre gang de cybercriminalité LAPSUS$.

Si vous êtes un tant soit peu au courant du cycle de l’actualité sur la cybercriminalité (pas de honte si vous ne l’êtes pas), LAPSUS$ est un nom que vous reconnaîtrez probablement. Pendant une grande partie de l’année dernière, le gang s’est bâti une réputation d’entreprise criminelle bizarre, chaotique et tape-à-l’œil, avec un penchant pour s’en prendre à de grosses cibles – et les atteindre avec succès. Pas vraiment un gang de ransomwares, mais loin d’être une bande de script kiddies inefficaces, le groupe a piraté certaines des plus grandes entreprises du monde au cours d’une frénésie de plusieurs mois qui a fait des ravages dans toute la Silicon Valley.

BBC News maintenant rapports qu’Arion Kurtaj, 18 ans, est décrit comme ayant été un membre clé du groupe. Kurtaj, qui est autiste, aurait mené ou aidé à mener de nombreuses cyberattaques du gang entre fin 2021 et début 2022. L’identité de Kurtaj était déjà divulgué sur le Web par une faction rivale de cybercriminalité, mais, en raison de son âge, les autorités ne l’ont pas encore identifié publiquement. Les psychiatres ont jugé Kurtaj inapte à subir son procès, c’est pourquoi il n’a pas comparu devant le tribunal, écrit la BBC.

Un autre adolescent autiste, encore mineur et dont l’identité n’a donc pas été dévoilée, a également été reconnu coupable par le tribunal d’avoir été un membre éminent d’un gang, rapporte BCC.

Les encoches sur la ceinture du gang incluses Uber, Nvidia, Microsoft, Samsung, Ubisoft, jeux de rock staret beaucoup d’autres. C’était aussi on pensait qu’il était connecté à un certain nombre de violations de données bizarres qui ont utilisé des comptes de messagerie piratés des forces de l’ordre pour demander des données à des sociétés comme Apple, Meta et Snapchat.

Les techniques d’intrusion de base dépassent les normes de sécurité de l’industrie

À de nombreux moments, LAPSUS$ a fonctionné de manière non conventionnelle et avec audace. Exemple concret : les adolescents auraient piraté certaines de leurs plus grandes cibles, notamment Rockstar Games, Uber et Nvidia, alors qu’ils étaient en liberté sous caution pour leurs précédents crimes de piratage. Dans certains cas, le gang n’a même pas tenté d’exiger une rançon pour les données volées ; au lieu de cela, cela ne ferait que répandre les secrets d’entreprise volés partout sur Internet, agissant moins comme un groupe criminel avisé que comme une bande de terroristes de données ayant quelque chose à prouver.

Plus que tout, l’affaire LAPSUS$ semble avoir mis en évidence à quel point il est facile pour les cybercriminels d’échapper aux mesures de sécurité de la plupart des entreprises. En général, Kurtaj et son entourage semblent avoir relativement facilement échappé aux défenses des grandes entreprises. Un article récemment publié rapport du Cyber ​​Safety Review Board du ministère de la Sécurité intérieure a fourni des informations supplémentaires sur le mode opératoire de LAPSUS$, confirmant ainsi l’utilisation par le gang de techniques de piratage simplistes pour affecter de gros rendements. Le rapport note :

« Lapsus$ semblait fonctionner à différents moments pour la notoriété, le gain financier ou le divertissement, et mélangeait une variété de techniques, certaines plus complexes que d’autres, avec des éclairs de créativité… Il pénétrait les réseaux d’entreprise, volait le code source, exigeait des paiements tout en donnant rarement suite, a déposé des messages politiques sur des forums en ligne obscurs et est rapidement passé à ses prochaines cibles. Les cyberattaques n’étaient pas l’œuvre d’un acteur étatique et n’impliquaient pas toujours des outils ou des méthodes particulièrement complexes ou avancés. Pourtant, les attaques ont toujours été efficaces contre certaines des entreprises les mieux dotées en ressources et les mieux défendues au monde.

En bref : les fournisseurs de cybersécurité doivent clairement intensifier leur jeu. Si une bande de lycéens qui s’ennuient peuvent vaincre aussi facilement les défenses numériques du groupe Fortune 500, nous sommes tous dans de sérieux problèmes.