Lapsus$

En mars 2022, le fil de discussion du groupe sur Telegram compte près de 50 000 abonnés^[14]. Le groupe a publié plusieurs sondages pour savoir quelles organisations seraient les prochaines cibles^[15].

Le modus operandi supposé du groupe était basé tout d'abord sur l'obtention d'un accès au réseau d'entreprise d'une organisation victime en obtenant des informations d'identification d'employés possédant des accès privilégiés. Ces identifiants de connexion étaient acquis de plusieurs manières, notamment par recrutement^[16] ou par piratage d'employés à l'aide de méthodes telles que l'échange de cartes SIM^[14]. Lapsus$ utilisait ensuite un bureau à distance ou un accès réseau pour obtenir des données sensibles, telles que les détails du compte client ou le code source. Le groupe a ensuite extorqué l'organisation victime en menaçant de divulguer les données^[6]. Enfin, les données et les informations étaient ensuite publiées sur Telegram.

À la suite de l'arrestation de White^[17], également connu sous le nom de Breachbase, l'un des principaux responsables de LAPSUS$^[18], le canal Telegram original de LAPSUS$ est resté inactif depuis 2022. LAPSUS$ a déjà touché trois grandes entreprises de renom.

Le groupe a également relancé ses activités en matière de « Web Defacement » (remplacement non-autorisé de pages sur des sites web), en ciblant principalement des sites israéliens.^{[réf. nécessaire][Quand ?]}

Le 24 mars 2022 sept personnes âgées de 16 à 21 ans ont été arrêtées par la police de la ville de Londres^[19],[20]. Un membre éminent présumé du groupe portant le pseudonyme White a été arrêté à Oxford, en Angleterre. Son identité aurait déjà été révélée par un de ses anciens associés ainsi que par divers groupes^[21]. Deux membres adolescents ont été inculpés le 1^er avril 2022, et un le 16 avril 2025.

• Portail de la sécurité des systèmes d'information