GTA 6: Verurteilter Lapsus$-Hacker muss dauerhaft in Klinik
Vor einem britischen Gericht wurden zwei Mitglieder der Hackergruppe Lapsus$ verurteilt. Einer davon hatte im Jahr 2022 nach einem Angriff auf interne Systeme von Rockstar Games frühe Gameplay-Inhalte aus GTA 6 veröffentlicht. Ins Gefängnis muss er zwar nicht, dafür aber auf unbestimmte Zeit in eine Klinik.
Ein großes Risiko für die Öffentlichkeit
Aufgrund seines akuten Autismus stuften Ärzte den 18-jährigen Arion Kurtaj als verhandlungsunfähig ein, heißt es bei BBC. Während seiner bisherigen Haft sei er gewalttätig gewesen. Es gebe Dutzende von Berichten über Verletzungen und Sachbeschädigungen. Die Geschworenen hätten folglich nur entschieden, ob Kurtaj die ihm vorgeworfenen Taten begangen habe oder nicht – nicht jedoch, ob er sie mit krimineller Absicht durchgeführt habe.
Der Verurteilte sei noch immer hoch motiviert, so schnell wie möglich wieder cyberkriminellen Aktivitäten nachzugehen, so das Ergebnis eines Gutachtens zu seiner psychischen Gesundheit. Für die Öffentlichkeit stelle er nach wie vor ein großes Risiko dar. Das Gericht entschied, ihn so lange in einer gesicherten Klinik unterbringen zu lassen, bis die Ärzte ihn als ungefährlich einstufen.
GTA-6-Leak erfolgte von einem Hotelzimmer aus
Schon im August wurde der 18-Jährige für schuldig befunden, an Cyberangriffen auf mehrere bekannte Unternehmen beteiligt gewesen zu sein. Damals berichtete unter anderem Bleeping Computer, es sei ihm gelungen, nach seiner Festnahme wegen eines Angriffs auf den britischen Mobilfunkbetreiber EE in den Cloudspeicher der Londoner Polizei einzudringen. Später habe er zusammen mit anderen Lapsus$-Mitgliedern IT-Systeme des Fintech-Unternehmens Revolut, des Fahrdienstleisters Uber sowie jene von Rockstar Games angegriffen und die Unternehmen mit Lösegeldforderungen erpresst.
Später sei Kurtaj unter strengen Kautionsauflagen in einem Hotel untergebracht worden. Er hatte unter anderem Internetverbot, was ihn jedoch nicht davon abhielt, sich einen Amazon Fire TV Stick, ein Smartphone und ein paar Eingabegeräte zu beschaffen und über den Fernseher im Hotelzimmer unter dem Pseudonym „teapotuberhacker“ die zuvor erbeuteten Gameplay-Inhalte aus Grand Theft Auto 6 zu veröffentlichen.
Für Rockstar angeblich ein Millionenschaden
Rockstar Games gab vor Gericht an, der Hackerangriff habe das Unternehmen 5 Millionen US-Dollar gekostet, zusätzlich zu den Tausenden von Stunden an Arbeitszeit der Mitarbeiter. Wie genau dieser Betrag zustande kommt, bleibt allerdings unklar. Der Verbreitung des ersten offiziellen Trailers von GTA 6 hat der Angriff aber offenkundig nicht geschadet. Nach rund 35 Stunden hatte der Clip auf YouTube schon mehr als 100 Millionen Aufrufe. Aktuell steht der Zähler auf knapp 156 Millionen – rund 2,5 Wochen nach Veröffentlichung.
Neben den bereits genannten Unternehmen gehörten auch andere namhafte Konzerne wie Microsoft, Nvidia, Samsung, Ubisoft, T-Mobile (USA) und Cisco zu den Angriffszielen von Lapsus$.
Auch sein 17-jähriger Komplize wurde verurteilt
Im Rahmen des Gerichtsprozesses am Southwark Crown Court wurde neben Kurtaj noch ein weiteres männliches Lapsus$-Mitglied verurteilt – im Alter von 17 Jahren. Der Junge, dessen Name aufgrund seines Alters nicht genannt wird, wurde aber nicht nur für seine Hacking-Delikte verurteilt. Das Gericht bestätigte ebenso, er habe ein „unangenehmes und beängstigendes Muster von Stalking und Belästigung“ von zwei jungen Frauen an den Tag gelegt. Auf ihn wartet nun eine 18 Monate andauernde Rehabilitationsmaßnahme für Jugendliche inklusive einer intensiven Überwachung sowie eines Verbots zur Nutzung von VPN-Diensten.
Kurtaj und sein 17-jähriger Komplize sind wohl die ersten verurteilten Mitglieder der Lapsus$-Gruppe. Laut BBC soll es jedoch mehr davon geben, von denen angenommen wird, dass sie noch auf freiem Fuß sind. Unklar sei auch noch, wie viel Geld die Hackergruppe im Laufe der Zeit eingenommen habe. Bisher gebe es seitens der angegriffenen Unternehmen keinerlei Eingeständnisse für möglicherweise getätigte Lösegeldzahlungen. Eine Preisgabe der Passwörter für die Kryptowallets der Angreifer sei bisher ebenfalls nicht erfolgt.
Laut Bleeping Computer soll Kurtaj allein durch seine kriminellen Aktivitäten rund 300 Bitcoin (aktueller Wert rund 12 Millionen Euro) verdient haben. Einen Großteil des Geldes habe er aber später beim Glücksspiel oder durch Angriffe anderer Hacker wieder verloren.