Dos adolescents britànics, que formen part de la banda d’extorsió i delictes cibernètics LAPSUS$, han estat condemnats pel seu paper en l’orquestració d’una sèrie d’atacs de perfil alt contra diverses empreses.

Arion Kurtaj, un jove de 18 anys d’Oxford, ha estat condemnat a una ordre d’hospitalització indefinida a causa de la seva intenció de tornar al ciberdelicte “tan aviat com sigui possible”, va informar la BBC. A Kurtaj, que és autista, se’l va declarar amb incapacitat per ser jutjat.

Un altre membre de LAPSUS$, un menor de 17 anys del qual no se sap el nom, va ser condemnat a una ordre de rehabilitació juvenil de 18 mesos de durada, que inclou el requisit de supervisió i vigilància intensiva de tres mesos. Va ser declarat culpable de dos delictes de frau, dos delictes contra la Llei d’ús indegut d’ordinadors i un delicte de xantatge.

Els dos acusats van ser arrestats inicialment el gener de 2022 i després posats en llibertat sota investigació. Van tornar a ser arrestats el març de 2022. Kurtaj, al qual se li va concedir la llibertat sota fiança, va continuar atacant diverses empreses fins que va ser detingut de nou al setembre.

L’atac, que va tenir lloc entre l’agost del 2020 i el setembre del 2022, va tenir com a objectiu BT, EE, Globant, LG, Microsoft, NVIDIA, Okta, Revolut, Rockstar Games, Samsung, Ubisoft, Uber i Vodafone.

Es creu que LAPSUS$ té membres del Regne Unit i del Brasil. Un tercer membre del grup, del qual se sospita que també era adolescent, va ser arrestat en aquest país sud-americà l’octubre de 2022.

L’any passat, un informe publicat per la Junta de Revisió de la Seguretat Cibernètica (CSRB, en les seves sigles en anglès) del Departament de Seguretat Nacional (DHS, en les seves sigles en anglès) dels Estats Units va revelar que l’actor d’amenaça utilitzava atacs d’intercanvi de SIM per fer-se càrrec dels comptes de les víctimes i infiltrar-se a les xarxes objectiu. També va utilitzar un canal de Telegram per donar a conèixer les seves operacions i extorsionar les seves víctimes.

Durant l’últim any, la notorietat atreta per LAPSUS$ també ha provocat l’aparició d’un altre grup anomenat Scattered Spider. Tots dos grups formen part d’una entitat més gran que s’anomena el Comm. 

Segons l’Oficina Federal d’Investigacions (l’FBI), el Comm està format per un “grup d’individus geogràficament divers, organitzats en diversos subgrups, que es coordinen mitjançant aplicacions de comunicació en línia com Discord i Telegram” per participar en intrusions corporatives, intercanvi de SIM, robatori de criptografia, violència de la vida real i trucades malicioses als serveis d’emergències.

“Aquest cas serveix com a exemple dels perills pels quals es poden atreure els joves mentre estan en línia i de les greus conseqüències que pot tenir per al futur de qualsevol persona”, va dir Amanda Horsburgh, superintendent en cap de detectius de la policia de la ciutat de Londres.

“Molts joves volen explorar com funciona la tecnologia i quines vulnerabilitats existeixen. Això pot incloure aprendre a codificar, interactuar amb persones afins en línia i experimentar amb eines. Malauradament, el món digital també pot ser temptador per als joves per raons equivocades”.