Portugisisk mediegigant starter 2022 under Ransomware-brud

Inden for få timer efter det nye år blev den portugisiske mediegigant Impresa ramt af et ransomware-angreb. Impresa er et af landets største medier, der driver både en række tv-kanaler og driver avisen Expresso og mediehjemmesiden.

Ifølge rapporter går trusselsaktøren, der er ansvarlig for angrebet, i hånden på 'Lapsus$' - en ransomware-bande, der ikke ender i overskrifterne så ofte som nogle andre, større navne.

Multi-tiered angreb

Ransomware-angrebet påvirkede ikke kun Expresso-webstedet, men også den Impressa-ejede SIC TV-station, da begge var offline i arbejdsdagene i den første uge af 2022. For at føje spot til skade kompromitterede og kaprede ransomware-skuespilleren også en af virksomhedens Twitter-konti, som senere blev brugt til at prale af angrebet.

I mandags offentliggjorde Impresa en pressemeddelelse, der informerede om, at tv-udsendelser, der bruger eter og kabel, ikke er påvirket, idet kun streaming af tv er offline. Lapsus$-gruppen droppede sin løsesumseddel på de kompromitterede virksomhedssider, hvor Recorded Future udgav et skærmbillede af sedlen.

Kort efter angrebet lykkedes det for Impresa at få de ødelagte sider tilbage under sin kontrol, og ændrede løsesumsedlen med de sædvanlige 'tjeneste utilgængelig'-meddelelser. Den løsesumseddel, der oprindeligt blev offentliggjort på virksomhedens sider, indeholdt ingen oplysninger om den krævede løsesum, og Impresa har heller ikke frigivet nogen oplysninger om løsesummen.

Hvem er Lapsus$?

Lapsus$-ransomwarebandens tidligere mest berygtede angreb var rettet mod det brasilianske sundhedsministerium og fandt sted i slutningen af 2021. Angrebet udslettede Covid-relaterede optegnelser for millioner af brasilianske borgere. Dette er første gang, trusselsaktøren retter sig mod en enhed på portugisisk jord, og det ser ud til, at gruppen er fokuseret på lande med en portugisisktalende befolkning.

Threatpost citerede TruUs Dave Pasirstein, som udtalte, at ransomware simpelthen "ikke forsvinder", på grund af den virtuelle umulighed at beskytte mod hver enkelt angrebsvektor i den nuværende infrastruktur, og på grund af de lukrative udbetalinger, der ofte er forbundet med denne forbrydelse.