포르투갈 미디어 거인, 랜섬웨어 침해로 2022년 시작

새해가 시작된 지 불과 몇 시간 만에 포르투갈 미디어 대기업 Impresa는 랜섬웨어 공격을 받았습니다. Impresa는 다양한 TV 채널을 운영하고 Expresso 신문 및 미디어 웹사이트를 운영하는 미국 최대 미디어 아울렛 중 하나입니다.

보고서에 따르면 공격에 책임이 있는 위협 행위자는 랜섬웨어 갱단인 'Lapsus$'의 손을 잡고 있습니다. 이 조직은 다른 더 큰 이름만큼 자주 헤드라인에 오르지 않습니다.

다단계 공격

랜섬웨어 공격은 Expresso 웹사이트뿐만 아니라 Impressa가 소유한 SIC TV 방송국에도 영향을 미쳤습니다. 둘 다 2022년 첫 주 영업일까지 오프라인 상태였기 때문입니다. 부상에 대한 모욕을 더하기 위해 랜섬웨어 공격자는 다음 중 하나를 손상시키고 하이재킹했습니다. 회사의 트위터 계정은 나중에 공격에 대해 자랑하는 데 사용되었습니다.

이번 월요일 Impresa는 공중파와 케이블을 사용하는 TV 방송은 영향을 받지 않으며 스트리밍 TV는 오프라인이라는 보도 자료를 발표했습니다. Lapsus$ 그룹은 손상된 회사 페이지에 몸값 메모를 삭제했으며 Recorded Future는 메모의 스크린샷을 게시했습니다.

공격 직후 Impresa는 훼손된 페이지를 다시 제어할 수 있었고 랜섬 노트를 일반적인 '서비스를 사용할 수 없음' 메시지로 변경했습니다. 회사 페이지에 처음 게시된 몸값 메모에는 요구된 몸값에 대한 정보가 포함되어 있지 않았으며 Impresa도 몸값에 대한 정보를 공개하지 않았습니다.

Lapsus$는 누구입니까?

Lapsus$ 랜섬웨어 갱의 이전 가장 악명 높은 공격은 브라질 보건부를 목표로 했으며 2021년 말에 발생했습니다. 이 공격은 수백만 브라질 시민의 코비드 관련 기록을 지워버렸습니다. 위협 행위자가 포르투갈 영토에 있는 법인을 표적으로 삼는 것은 이번이 처음이며 이 그룹은 포르투갈어를 사용하는 인구가 있는 국가에 집중하는 것으로 보입니다.

Threatpost는 현재 인프라의 모든 단일 공격 벡터로부터 보호하는 것이 사실상 불가능하고 이 범죄와 관련된 수익성 높은 지불금 때문에 랜섬웨어가 단순히 "사라지지 않을 것"이라고 말한 TruU의 Dave Pasirstein을 인용했습니다.