Il gigante dei media portoghese inizia il 2022 sotto una violazione del ransomware

attacco ransomware

A poche ore dal nuovo anno, il colosso portoghese dei media Impresa è stato colpito da un attacco ransomware. Impresa è uno dei più grandi media del paese, che gestisce sia una serie di canali televisivi che il quotidiano Expresso e il sito web dei media.

Secondo i rapporti, l'attore della minaccia responsabile dell'attacco si chiama "Lapsus$", una banda di ransomware che non finisce sui titoli tanto spesso quanto altri nomi più grandi.

Attacco a più livelli

L'attacco ransomware ha colpito non solo il sito Web Expresso, ma anche la stazione TV SIC di proprietà di Impressa, poiché entrambi erano offline nei giorni lavorativi della prima settimana del 2022. Per aggiungere al danno la beffa, l'attore del ransomware ha anche compromesso e dirottato uno dei account Twitter dell'azienda, che in seguito è stato utilizzato per vantarsi dell'attacco.

Questo lunedì Impresa ha pubblicato un comunicato stampa, informando che le trasmissioni TV via etere e via cavo non sono interessate, con solo la TV in streaming offline. Il gruppo Lapsus$ ha rilasciato la sua richiesta di riscatto sulle pagine dell'azienda compromesse, con Recorded Future che ha pubblicato uno screenshot della nota.

Poco dopo l'attentato, l'Impresa è riuscita a riprendere il controllo delle pagine deturpate, sostituendo la richiesta di riscatto con i consueti messaggi di 'servizio non disponibile'. La richiesta di riscatto pubblicata inizialmente sulle pagine dell'azienda non conteneva alcuna informazione sul riscatto richiesto e nemmeno Impresa ha rilasciato alcuna informazione sul riscatto.

Chi è Lapsus$?

Il precedente attacco più famigerato della banda di ransomware Lapsus$ era diretto al Ministero della Salute brasiliano ed è avvenuto alla fine del 2021. L'attacco ha spazzato via i record relativi al Covid di milioni di cittadini brasiliani. Questa è la prima volta che l'attore della minaccia prende di mira un'entità sul suolo portoghese e sembra che il gruppo si concentri su paesi con una popolazione di lingua portoghese.

Threatpost ha citato Dave Pasirstein di TruU, il quale ha affermato che il ransomware semplicemente "non sta andando via", a causa dell'impossibilità virtuale di proteggersi da ogni singolo vettore di attacco nell'infrastruttura attuale, e per i lucrosi pagamenti spesso associati a questo crimine.