英國警方逮捕7名疑與Lapsus$有關的青少年

BBC報導，7名和駭入Nvidia、三星及微軟等知名企業的駭客組織Lapsus$有關的青少年，昨（24）日遭英國警方逮捕。

倫敦市警局昨日指出，警方已逮捕了7名16到21歲與本案有關的人士，全數皆已釋放，但調查仍將持續。

Lapsus$因接連駭入Nvidia、三星、Ubisoft、Vodafone、微軟及Okta，並高調徵求知名公司員工協助與勒索贖金引發矚目。南韓電子大廠LG、遊戲大廠藝電也在受害名單之列。

昨日彭博報導，4名受害企業的安全研究人員追查發現，該集團首腦可能是一名住在英國牛津大學附近的16歲青少年。不過英國警方未說明他是否也是昨日被捕7人之一。

資安部落格KrebsonSecurity報導，這名青少年買下肉搜網站Doxbin後和其社群發生衝突，最後他公布該網站整個資料庫，導致社群肉搜並公布該名青少年的姓名、英國住處、相片，以及和Lapsus$的關聯作為報復。肉搜資料顯示，他幾年來已經累積了300個比特幣，約美金1,400萬的財富。

Lapsus$集團2020年開始活動，起初駭入對象為南美企業為主，但去年起擴及美國企業。KrebsonSecurity報導，這個集團經常以英語及葡語在社群平臺召募知名公司員工，利誘助其行動。Lapsus$核心成員之一曾以WhiteDoxbin/Oklaqq以高達每周2萬美元為代價，徵求AT&T、T-Mobile及Verizon員工作為內應。至少一名成員涉及去年藝電（Electronic Arts）巨額勒贖事件，以換取不公布780GB資料。

研究人員懷疑還有另一名成員為住在巴西的青少年。安全廠商Flashpoint則推測Lapsus$成員有15人， 大部份位於葡萄牙及拉丁美洲。