Lapsus$: Teenager soll Microsoft, Nvidia und Samsung gehackt haben

Hinter der Ransomwaregruppe Lapsus$, die mit Hacks und der anschließenden Veröffentlichung von internen Daten namhafter Firmen in die Schlagzeilen geriet, könnte ein britischer Teenager stecken. Davon gehen laut einem Bericht der Nachrichtenagentur Bloomberg vier Sicherheitsforscher aus, die die Fälle im Auftrag der angegriffenen Firmen untersuchen.

Der 16-jährige Teenager soll demnach der Drahtzieher der Ransomwaregruppe Lapsus$ sein, die erst kürzlich Microsoft, Nvidia und Samsung gehackt sowie interne Daten der Unternehmen veröffentlicht hatten. Allerdings konnte der 16-Jährige nicht mit allen Hacks von Lapsus$ eindeutig in Verbindung gebracht werden. Vielmehr gehen die Forscher von mehreren Mitgliedern aus, darunter ein weiterer Teenager, der in Brasilien leben soll.

Der britische Teenager soll online unter den Pseudonymen White und Breachbase auftreten und im echten Leben rund acht Kilometer von der Universität Oxford entfernt wohnen. Journalisten konnten mit seiner Mutter über die Gegensprechanlage reden. Diese gab an, nichts von den Vorwürfen zu wissen. Allerdings beunruhige sie, dass Bilder von ihrem Haus sowie dem Haus des Vaters des Teenagers im Internet veröffentlicht wurden. Laut Bloomberg wurden Informationen über den jugendlichen Hacker von rivalisierenden Gruppen online gestellt.

Lapsus$ rekrutierte Angestellte und kündigte Hacks öffentlich an

Lapsus$ hatte seine Opfer nicht nur gehackt und deren interne Daten kopiert, sondern diese anschließend veröffentlicht und die Opfer seiner Hacks verhöhnt. Teils drohte die Gruppe mit Veröffentlichung der Daten, wenn die Unternehmen nicht bestimmte Bedingungen erfüllen würden. Nach den Hacks beobachteten die Hacker häufig die internen Reaktionen auf die Angriffe und klingelten sich teils sogar in Zoom-Calls ein und verspotteten die Angestellten und Berater, die versuchten, auf die Hacks zu reagieren.

Microsoft bestätigte, von Lapsus$ gehackt worden zu sein, und erklärte, dass die Gruppe eine "groß angelegte Social-Engineering- und Erpressungskampagne gegen mehrere Unternehmen" gestartet habe. Die Gruppe habe teils erfolgreich Insider in den Unternehmen rekrutiert, die ihre Zugangsdaten bereitstellen und eine Zwei-Faktor-Authentifizierung durchführen mussten. Teils sollen sich auch eine Remote-Administrationssoftware auf ihrem Rechner installieren.

"Anders als die meisten Gruppen, die unter dem Radar bleiben, scheint [Lapsus$] seine Spuren nicht zu verwischen", schreibt Microsoft in einem Blogbeitrag. "Sie gehen sogar so weit, dass sie ihre Angriffe in den sozialen Medien ankündigen oder ihre Absicht bekannt geben, Anmeldedaten von Mitarbeitern der Zielorganisationen zu kaufen. [Lapsus$] hatte es zunächst auf Organisationen in Großbritannien und Südamerika abgesehen, hat sich aber auf globale Ziele ausgeweitet, darunter Organisationen in den Bereichen Regierung, Technologie, Telekommunikation, Medien, Einzelhandel und Gesundheitswesen."