Tại một ngôi nhà ở Oxford (Anh), một thiếu niên 16 tuổi sống cùng mẹ đang khiến hàng loạt hãng công nghệ nổi tiếng ở bên kia thế giới chao đảo. Cậu ta đã tấn công tập đoàn Microsoft, dịch vụ Okta và gần đây nhất là Apple và Meta.
Theo Bloomberg News, một thành viên khác trong nhóm bị nghi ngờ là một thiếu niên sống ở Brazil. Tuy nhiên, đến thời điểm hiện tại, các nhà nghiên cứu vẫn chưa thể tìm ra mối liên hệ chính xác giữa thiếu niên ở Anh với từng vụ tấn công mà Lapsus$ tuyên bố chịu trách nhiệm. Bên cạnh đó, vẫn chưa có bất kỳ lời buộc tội công khai nào từ phía lực lượng thực thi pháp luật.
Thành viên ít tuổi không phải là thứ duy nhất khiến nhóm tin tặc này khác biệt so với những nhóm tấn công mạng khét tiếng khác như Conti và Revil. Lapsus$ sử dụng cách thức tống tiền thuần túy mà không cần dùng đến mã độc tống tiền.
Trong khi cả thế giới bận rộn với tình hình Ukraine với các cáo buộc Nga tấn công mạng, Lapsus $ tiếp tục với các hoạt động riêng, góp phần vào mạng lưới tội phạm mạng toàn cầu ước tính gây thiệt hại cho nền kinh tế thế giới hơn 1.000 tỷ USD/năm.
Những chiến thuật được Lapsus$ triển khai tương đối quen thuộc với các đội phản ứng an ninh mạng. Nổi bật trong số đó là kẻ tấn công mạo danh một người để lừa nhân viên trợ giúp cấp quyền truy cập vào hệ thống hoặc cung cấp thông tin nhạy cảm. Ngoài ra, nhóm này còn sử dụng chiêu thức tráo sim. Tin tặc thay thế thành công số điện thoại của nạn nhân bằng số điện thoại của nhóm để nhận các mã bảo mật được gửi đến bằng tin nhắn văn bản.
Tuy nhiên, thay vì âm thầm lên kế hoạch tấn công, bao gồm thiết lập ví tiền điện tử và để lại một thông báo đòi tiền chuộc cho các nạn nhân, Lapsus$ có vẻ thực hiện lối tiếp cận có phần phô trương hơn. Nhóm này thậm chí còn khoe khoang thông qua một nhóm trên mạng xã hội Telegram rằng họ sẵn sàng mua thông tin xác thực của nhân viên các công ty nạn nhân, sau đó sẽ được sử dụng để vi phạm hệ thống bảo mật của công ty. Mục đích là truy cập máy tính, đánh cắp dữ liệu và sau đó đòi tiền chuộc. Không chỉ dừng lại ở đó, nhóm này còn xâm nhập vào các nhóm thảo luận của các công ty nạn nhân để nghe lén cách thức xử lý khủng hoảng của những công ty này.
Lapsus$ không phải là tội phạm mạng ở độ tuổi thiếu niên đầu tiên trên thế giới. Năm 1979, Kevin Mitnick khi đó mới chỉ 16 tuổi đã đột nhập vào hệ thống của công ty ngành máy tính Digital Equipment. Tin tặc 15 tuổi Jonathan James có thể tấn công hệ thống máy tính của Bộ Tư pháp Mỹ. Tại Canada, mục tiêu của Michael Calce bao gồm các trang website của Yahoo, eBay và Dell khi cậu ta mới 17 tuổi.
Các tin tặc ở độ tuổi vị thành niên là một thách thức đối với những người thực thi pháp luật và công tố viên. Nhiều nước không thể buộc tội thủ phạm khi chưa trưởng thành. Đối với James, cậu ta nhận hai tội danh vi phạm pháp luật ở tuổi vị thành niên và bị kết án quản thúc tại gia. Với gần 20 cáo buộc, Mitnick chỉ thụ án 5 năm, còn Calce bị giam 8 tháng trong trại giam thanh thiếu niên.