Portugese mediagigant start 2022 onder ransomware-inbreuk

ransomware aanval

Binnen enkele uren na het nieuwe jaar werd de Portugese mediagigant Impresa getroffen door een ransomware-aanval. Impresa is een van de grootste mediakanalen van het land en exploiteert zowel een reeks tv-zenders als de krant Expresso en de mediawebsite.

Volgens rapporten wordt de dreigingsactor die verantwoordelijk is voor de aanval geleid door 'Lapsus$' - een ransomwarebende die niet zo vaak in het nieuws komt als sommige andere, grotere namen.

Meerlaagse aanval

De ransomware-aanval trof niet alleen de Expresso-website, maar ook het SIC TV-station dat eigendom is van Impressa, aangezien beide tot in de werkdagen van de eerste week van 2022 offline waren. Om nog erger te maken, compromitteerde de ransomware-acteur ook een van de Twitter-accounts van het bedrijf, die later werden gebruikt om op te scheppen over de aanval.

Deze maandag heeft Impresa een persbericht gepubliceerd, waarin staat dat tv-uitzendingen via ether en kabel niet worden beïnvloed, met alleen streaming tv offline. De Lapsus$-groep liet zijn losgeldbriefje op de gecompromitteerde bedrijfspagina's vallen, en Recorded Future publiceerde een screenshot van het briefje.

Kort na de aanval slaagde Impresa erin om de beschadigde pagina's weer onder controle te krijgen door de losgeldbrief te wijzigen met de gebruikelijke 'service niet beschikbaar'-berichten. De losgeldbrief die aanvankelijk op de pagina's van het bedrijf werd gepubliceerd, bevatte geen informatie over het gevraagde losgeld en Impresa heeft ook geen informatie over het losgeld vrijgegeven.

Wie is Lapsus$?

De vorige meest beruchte aanval van de Lapsus$-ransomwarebende was gericht op het Braziliaanse ministerie van Volksgezondheid en vond plaats eind 2021. De aanval vernietigde de Covid-gerelateerde gegevens van miljoenen Braziliaanse burgers. Dit is de eerste keer dat de dreigingsactor zich richt op een entiteit op Portugese bodem en het lijkt erop dat de groep zich richt op landen met een Portugeessprekende bevolking.

Threatpost citeerde Dave Pasirstein van TruU, die verklaarde dat ransomware gewoon "niet weggaat", vanwege de virtuele onmogelijkheid om te beschermen tegen elke afzonderlijke aanvalsvector in de huidige infrastructuur, en vanwege de lucratieve uitbetalingen die vaak met deze misdaad gepaard gaan.