Португалският медиен гигант започва 2022 г. под нарушение на Ransomware

ransomware атака

Само за часове след новата година португалският медиен гигант Impresa беше засегнат от атака на ransomware. Impresa е една от най-големите медии в страната, която оперира както редица телевизионни канали, така и управлява вестника Expresso и медийния уебсайт.

Според съобщенията, заплахата, отговорна за атаката, върви по дръжката на „Lapsus$" – банда за откуп, която не попада в заглавията толкова често, колкото някои други, по-големи имена.

Многостепенна атака

Атаката за рансъмуер засегна не само уебсайта на Expresso, но и телевизионната станция SIC, собственост на Impressa, тъй като и двете бяха офлайн през работните дни на първата седмица на 2022 г. За да добави обида към нараняването, актьорът на ransomware също компрометира и отвлече един от Twitter акаунтите на компанията, които по-късно бяха използвани, за да се похвалят с атаката.

Този понеделник Impresa публикува прессъобщение, в което информира, че телевизионните предавания, използващи ефир и кабел, не са засегнати, като само поточно предаване на телевизия е офлайн. Групата Lapsus$ пусна бележката си за откуп на компрометираните фирмени страници, като Recorded Future публикува екранна снимка на бележката.

Малко след атаката Impresa успява да върне повредените страници под свой контрол, променяйки бележката за откуп с обичайните съобщения за „недостъпна услуга". Бележката за откуп, публикувана първоначално на страниците на компанията, не съдържаше никаква информация за искания откуп, а Impresa също не публикува информация за откупа.

Кой е Lapsus$?

Предишната най-известна атака на бандата Lapsus$ ransomware беше насочена към бразилското министерство на здравеопазването и се състоя в края на 2021 г. Атаката изтри свързаните с Covid записи на милиони бразилски граждани. Това е първият път, когато заплахата е насочена към образувание на португалска земя и изглежда групата е фокусирана върху страни с португалско-говорящо население.

Threatpost цитира Дейв Пасирщайн от TruU, който заяви, че ransomware просто "не изчезва", поради виртуалната невъзможност за защита срещу всеки отделен вектор на атака в текущата инфраструктура и заради доходоносните изплащания, често свързани с това престъпление.