Portugisisk mediegigant starter 2022 under brudd på løsepengevare

ransomware angrep

I løpet av bare timer etter det nye året ble den portugisiske mediegiganten Impresa rammet av et løsepengeangrep . Impresa er et av landets største medier, som driver både en rekke TV-kanaler og driver avisen Expresso og medienettstedet.

Ifølge rapporter går trusselaktøren som er ansvarlig for angrepet under håndtaket til «Lapsus$» - en løsepengevaregjeng som ikke havner i overskriftene like ofte som noen andre, større navn.

Flerlagsangrep

Ransomware-angrepet påvirket ikke bare Expresso-nettstedet, men også den Impressa-eide SIC TV-stasjonen, ettersom begge var offline inn i arbeidsdagene den første uken av 2022. For å legge fornærmelse til skade, kompromitterte og kapret løsepengevareaktøren også en av selskapets Twitter-kontoer, som senere ble brukt til å skryte av angrepet.

Denne mandagen publiserte Impresa en pressemelding som informerte om at TV-sendinger som bruker eteren og kabel ikke påvirkes, med bare streaming av TV som er offline. Lapsus$-gruppen la ned løsepengene på de kompromitterte firmasidene, og Recorded Future publiserte et skjermbilde av notatet.

Kort tid etter angrepet klarte Impresa å få de ødelagte sidene tilbake under sin kontroll, og endret løsepengenotaen med de vanlige meldingene "tjeneste utilgjengelig". Løsepengene som ble publisert i utgangspunktet på selskapets sider inneholdt ingen informasjon om den krevde løsesummen og Impresa har heller ikke gitt ut noen informasjon om løsepengene.

Hvem er Lapsus$?

Lapsus$ ransomware-gjengens forrige mest beryktede angrep var rettet mot det brasilianske helsedepartementet og fant sted sent i 2021. Angrepet utslettet de Covid-relaterte registrene til millioner av brasilianske borgere. Dette er første gang trusselaktøren retter seg mot en enhet på portugisisk jord, og det ser ut til at gruppen er fokusert på land med en portugisisktalende befolkning.

Threatpost siterte TruUs Dave Pasirstein, som uttalte at løsepengevare rett og slett "ikke forsvinner", på grunn av den virtuelle umuligheten av å beskytte mot hver eneste angrepsvektor i gjeldende infrastruktur, og de lukrative utbetalingene som ofte er forbundet med denne forbrytelsen.