Portugalski gigant medialny rozpoczyna 2022 r. pod wpływem ransomware

W ciągu zaledwie kilku godzin nowego roku portugalski gigant medialny Impresa został zaatakowany przez oprogramowanie ransomware. Impresa jest jednym z największych mediów w kraju, obsługującym zarówno szereg kanałów telewizyjnych, jak i prowadzącym gazetę i portal medialny Expresso.

Według doniesień, cyberprzestępca odpowiedzialny za atak kojarzy się z „Lapsus$" – gangiem zajmującym się oprogramowaniem ransomware, który nie trafia na nagłówki tak często, jak inne, większe nazwiska.

Atak wielopoziomowy

Atak ransomware dotknął nie tylko stronę Expresso, ale także należącą do Impressa stację telewizyjną SIC, ponieważ obie były nieaktywne w dni robocze pierwszego tygodnia 2022 roku. konta firmy na Twitterze, które później zostały wykorzystane do pochwalenia się atakiem.

W poniedziałek Impresa opublikowała komunikat prasowy, informując, że nie ma to wpływu na transmisje telewizyjne za pomocą fal radiowych i telewizji kablowej, a tylko transmisja strumieniowa jest niedostępna. Grupa Lapsus$ zrzuciła żądanie okupu na skompromitowanych stronach firmowych, a Recorded Future opublikował zrzut ekranu notatki.

Wkrótce po ataku Impresa zdołała odzyskać kontrolę nad zniszczonymi stronami, zamieniając żądanie okupu na zwykłe komunikaty „usługa niedostępna". Nota o okupie opublikowana początkowo na stronach firmy nie zawierała żadnych informacji na temat żądanego okupu, a Impresa również nie ujawniła żadnych informacji na temat okupu.

Kim jest Lapsus$?

Poprzedni najgłośniejszy atak gangu ransomware Lapsus$ był wymierzony w brazylijskie Ministerstwo Zdrowia i miał miejsce pod koniec 2021 roku. Atak wymazał związane z Covidem dane dotyczące milionów obywateli Brazylii. To pierwszy raz, gdy aktor groźby atakuje podmiot na portugalskiej ziemi i wydaje się, że grupa koncentruje się na krajach z populacją portugalskojęzyczną.

Threatpost zacytował Dave'a Pasirsteina z TruU, który stwierdził, że oprogramowanie ransomware po prostu „nie znika", ze względu na wirtualną niemożność ochrony przed każdym wektorem ataku w obecnej infrastrukturze oraz z powodu lukratywnych wypłat często związanych z tym przestępstwem.