Portugalin mediajätti aloittaa vuoden 2022 kiristyshaittaohjelman rikkomisen alaisena

Muutaman tunnin sisällä uudesta vuodesta portugalilainen mediajätti Impresa joutui kiristysohjelmahyökkäyksen kohteeksi . Impresa on yksi maan suurimmista tiedotusvälineistä, joka operoi sekä erilaisia tv-kanavia että ylläpitää Expresson sanoma- ja mediasivustoa.

Raporttien mukaan hyökkäyksestä vastuussa oleva uhkatekijä kulkee Lapsus$:n kädensijassa – kiristysohjelmajengissä, joka ei päädy otsikoihin yhtä usein kuin jotkut muut, isommat nimet.

Monitasoinen hyökkäys

Kiristysohjelmahyökkäys ei vaikuttanut vain Expresson verkkosivustoon vaan myös Impressan omistamaan SIC-TV-asemaan, koska molemmat olivat offline-tilassa vuoden 2022 ensimmäisen viikon työpäivinä. Loukkauksen lisäämiseksi ransomware-toimija myös vaaransi ja kaappasi yhden yrityksen Twitter-tilit, joita käytettiin myöhemmin kehumaan hyökkäyksestä.

Tänä maanantaina Impresa julkaisi lehdistötiedotteen, jossa kerrottiin, että tämä ei vaikuta radioaaltoja ja kaapelia käyttäviin TV-lähetyksiin, koska vain suoratoisto TV on offline-tilassa. Lapsus$-ryhmä pudotti lunnaat vaarantuneiden yritysten sivuille, ja Recorded Future julkaisi kuvakaappauksen setelistä.

Pian hyökkäyksen jälkeen Impresa onnistui saamaan turmeltuneet sivut takaisin hallintaansa vaihtamalla lunnaat tavanomaisilla "palvelu ei saatavilla" -viesteillä. Yrityksen sivuilla alun perin julkaistu lunastuslappu ei sisältänyt tietoja vaaditusta lunnaista, eikä Impresa ole myöskään julkaissut tietoja lunnaista.

Kuka on Lapsus$?

Lapsus$ ransomware -jengin edellinen pahamaineisin hyökkäys kohdistui Brasilian terveysministeriöön ja tapahtui vuoden 2021 lopulla. Hyökkäys pyyhkäisi pois miljoonien Brasilian kansalaisten Covidiin liittyvät tiedot. Tämä on ensimmäinen kerta, kun uhkatoimija kohdistuu Portugalin maaperällä olevaan kokonaisuuteen, ja näyttää siltä, että ryhmä keskittyy maihin, joissa on portugalinkielinen väestö.

Threatpost lainasi TruU:n Dave Pasirsteinia, joka totesi, että lunnasohjelmat "ei yksinkertaisesti katoa", koska nykyisessä infrastruktuurissa on käytännössä mahdotonta suojautua jokaiselta hyökkäysvektorilta ja tähän rikokseen usein liittyvistä tuottoisista maksuista.