Атака программ-вымогателей на португальский медиа-гигант Impresa нарушила работу газеты Expresso и телеканалов SIC
Банда вымогателей под названием Lapsus$ атаковала крупнейшую медиакомпанию Португалии группу Impresa, начиная с новогодних выходных.
В результате атаки были закрыты все веб-сайты, принадлежащие Impresa, телеканалы SIC и популярная еженедельная газета Expresso.
Согласно Recorded Future, группа Lapsus взяла на себя ответственность за атаку и оставила записку, в которой сообщалось, что они получили доступ к учетной записи Amazon Web Services компании Impresa.
После атаки программы-вымогателя крупнейшая в стране медиагруппа и телеканал стали недоступны. Атака нарушила возможности потоковой передачи компании, в то время как кабель Impresa оставался в рабочем состоянии.
По словам Насера Фаттаха, председателя Североамериканского руководящего комитета по общим оценкам:
«Время простоя компании приравнивается к потере дохода в той или иной форме, что является непосредственным побочным продуктом программ-вымогателей».
«Следовательно, важно проводить настольные учения по программам-вымогателям, чтобы не только лучше подготовиться к атаке, но и привлечь бизнес, чтобы лучше понять финансовые последствия сбоев в работе системы».
Сообщается, что Impresa восстановила доступ к своей учетной записи Amazon Web Services и прекратила техническое обслуживание всех своих веб-сайтов. Но Lapsus использовал проверенную учетную запись Impresa в Твиттере и написал в Твиттере, что у них все еще есть доступ к системам компании.
За исключением Impresa, различные другие медиакомпании Португалии также сообщили об атаках программ-вымогателей. Газета Observador подтвердила атаку на Twitter.
Газета сообщила, что подписчики Opto потоковых платформ, принадлежащих SIC, получили тексты от группы вымогателей, в которых говорилось: «Мы объявляем Lapsus$ президентом Португалии». Подписчики новостной рассылки Expresso также получили сообщения от хакерской группы, взявшей на себя ответственность за атаку.
Газета также сообщила, что Impresa Group сотрудничает с Национальным центром кибербезопасности (NCSC) и судебной полицией и подаст заявление о возбуждении уголовного дела. NCSC сообщил Observador, что находится в непосредственном контакте со СМИ.
Impresa заявила, что инцидент был посягательством на свободу СМИ Португалии в цифровую эпоху.
В то время как медиа-группа отказалась раскрыть сумму вымогателей, запрошенную Lapsus$, хакерская группа объявила об утечке всех данных, украденных у медиа-компании, если они не выполнят свои требования в отношении программ-вымогателей.
Несмотря на то, что это была первая атака хакерской группы в Португалии, они, похоже, весьма заинтересованы в португалоязычных странах. Эта группа также атаковала министерство здравоохранения Бразилии в декабре 2021 года и удалила данные Covid-19 на 50 терабайт.
Они также атаковали телекоммуникационного оператора Бразилии Claro, но компания не смогла признать атаку шифровальщика.
По данным властей Португалии, атака вируса-вымогателя Impresa стала крупнейшей в истории страны.
По словам Элизабет Уортон, вице-президента по операциям SCYTHE, она сказала:
«Возможность постоянно проверять людей, процессы и технологии всегда будет проблемой»,
«Банды вымогателей, такие как Lapsus$, могут использовать одни и те же тактики, методы и процедуры (TTP) для проведения своих атак, или они могут изменить порядок действий TTP, чтобы они оставались незамеченными. Компании должны постоянно тестировать свои средства контроля, используя информацию об угрозах, например, новости об этой атаке, чтобы защитить свои деловые интересы».