Polis, Mart ayı sonlarında Lapsus$ grubunun daha üretken üyelerinden yedisini tutuklamadan hemen önce, fidye yazılımı çetesi T-Mobile'ın kaynak kodunu çaldı. Güvenlik gazetecisi Brian Krebs, grubun taşıyıcıyı birden çok kez hedef aldığını gösteren özel Telegram mesajları olduğuna inanılanların ekran görüntülerini paylaştı. T-Mobile saldırıyı doğrularken şunları söyledi:
Birkaç hafta önce, izleme araçlarımız, operasyonel araçlar yazılımını barındıran dahili sistemlere erişmek için çalınan kimlik bilgilerini kullanan kötü bir aktör tespit etti. Sistemlerimiz ve süreçlerimiz tasarlandığı gibi çalıştı, izinsiz giriş hızla kapatıldı ve kapatıldı ve kullanılan güvenliği ihlal edilmiş kimlik bilgileri geçersiz hale getirildi. Erişilen sistemler hiçbir müşteri veya devlet bilgisi ya da benzer şekilde hassas bilgiler içermiyordu.
Lapsus$ hack grubunun T-Mobile savunmasını sakatlamadığını belirtmek önemlidir. Bunun yerine grup, çalışanların kimlik bilgilerini alarak şirketin dahili ağına ve yalnızca çalışanlara yönelik araçlarına erişti. Grup, kimlik bilgilerini çalıntı yetkilendirme ve doğrulama araçları ticareti alanında uzmanlaşmış Rus web sitelerinden satın almış görünüyor.
T-Mobile çalışanlarının bazı kimlik bilgilerine erişim elde eden bilgisayar korsanlığı grubu, SIM takas saldırıları gerçekleştirmek için T-Mobile'ın müşteri yönetim sistemi Atlas gibi şirketin dahili araçlarını kullandı.
SIM takas saldırıları büyük olasılıkla Lapsus$ grup üyelerinin iki faktörlü kimlik doğrulama (2FA) tekniklerinde kullanılan güvenlik önlemlerini engellemesine izin verdi. Bir kurbanın SIM kart bilgilerine erişimi olan grup, SMS mesajlarını veya parola sıfırlama bağlantılarını ve ayrıca çok faktörlü kimlik doğrulamayı gerçekleştirmek için yaygın olarak kullanılan Tek Kullanımlık Parola (OTP) kodlarını ele geçirmiş olabilir.
Görünüşe göre Lapsus$ grubu sadece T-Mobile'ın değil, diğer şirketlerin de hassas bilgilerini çalmak istiyor. Grubun geçmişteki istismarları göz önüne alındığında, T-Mobile'a yapılan bu saldırı, gizli verilerini (ve diğer şirketlerin) rehin tutan ve daha sonra gruba ödeme yapılmadığı takdirde serbest bırakmakla tehdit eden başka bir soygun olabilir.