Ransomware-Angriff auf den portugiesischen Mediengiganten Impresa stört Expresso-Zeitung und SIC-TV-Kanäle
Eine Ransomware-Bande namens Lapsus$ griff ab dem Neujahrswochenende das größte Medienunternehmen Portugals, die Impresa-Gruppe, an.
Der Angriff führte zur Schließung aller Websites von Impresa, SIC-TV-Kanälen und einer beliebten Wochenzeitung Expresso.
Laut Recorded Future übernahm die Lapsus-Gruppe die Verantwortung für den Angriff und hinterließ eine Notiz, in der sie erklärte, dass sie Zugang zum Amazon Web Services-Konto von Impresa erhalten hatte.
Nach dem Ransomware-Angriff waren die größte Mediengruppe und der größte Fernsehsender des Landes nicht mehr verfügbar. Der Angriff unterbrach die Streaming-Fähigkeiten des Unternehmens, während das Kabel von Impresa in Betrieb blieb.
Laut Nasser Fattah, dem Vorsitzenden des nordamerikanischen Lenkungsausschusses für gemeinsame Bewertungen:
„Ausfallzeiten von Unternehmen sind in der einen oder anderen Form mit Umsatzeinbußen gleichzusetzen, was ein unmittelbares Nebenprodukt von Ransomware ist.”
„Daher ist es wichtig, Ransomware-Tabletop-Übungen durchzuführen, um sich nicht nur optimal auf einen Angriff vorzubereiten, sondern auch das Unternehmen zu motivieren, die finanziellen Auswirkungen von Systemausfällen besser zu verstehen.”
Impresa hat Berichten zufolge wieder Zugriff auf sein Konto bei Amazon Web Services erhalten und alle seine Websites aus der Wartung genommen. Aber Lapsus nutzte einen verifizierten Twitter-Account von Impresa und twitterte, dass sie immer noch Zugriff auf die Systeme des Unternehmens haben.
Außer Impresa meldeten auch verschiedene andere Medienunternehmen Portugals Ransomware-Angriffe. Die Zeitung „Observador” bestätigte einen Angriff auf Twitter.
Die Zeitung berichtete, dass die Opto-Abonnenten der Streaming-Plattformen im Besitz von SIC Texte von der Ransomware-Gruppe erhielten, in denen stand: „Wir kündigen Lapsus$ als Präsidenten von Portugal an.” Die Abonnenten des Expresso-Newsletters erhielten auch SMS von der Hackergruppe, in denen sie sich zu dem Angriff bekennen.
Die Zeitung berichtete auch, dass die Impresa Group mit dem National Cybersecurity Center (NCSC) und der Justizpolizei zusammenarbeite und Strafanzeige erstatten werde. NCSC teilte dem Observador mit, dass es in direktem Kontakt mit dem Medienunternehmen stehe.
Impresa behauptete, der Vorfall sei ein Angriff auf Portugals Medienfreiheit im digitalen Zeitalter.
Während sich die Mediengruppe weigerte, die von Lapsus$ geforderte Ransomware-Menge offenzulegen, hat die Hacking-Gruppe angekündigt, alle gestohlenen Daten des Medienunternehmens preiszugeben, wenn sie ihre Ransomware-Forderungen nicht erfüllen.
Auch wenn es der erste Angriff der Hackergruppe in Portugal war, scheinen sie sich sehr für die portugiesischsprachigen Länder zu interessieren. Diese Gruppe griff im Dezember 2021 auch das brasilianische Gesundheitsministerium an und löschte die Covid-19-Daten im Wert von 50 Terabyte.
Sie griffen auch den brasilianischen Telekommunikationsanbieter Claro an, aber das Unternehmen gab den Ransomware-Angriff nicht zur Kenntnis.
Nach Angaben der portugiesischen Behörden war der Ransomware-Angriff von Impresa der größte in der Geschichte des Landes.
Laut Elizabeth Wharton, Vice President of Operations bei SCYTHE, sagte:
„Die kontinuierliche Validierung von Menschen, Prozessen und Technologien wird immer ein Kampf sein”,
„Ransomware-Banden wie Lapsus$ können dieselben Taktiken, Techniken und Verfahren (TTPs) verwenden, um ihre Angriffe durchzuführen, oder sie können die TTPs neu anordnen, damit sie unter dem Radar fliegen. Unternehmen müssen ihre Kontrollen kontinuierlich testen, indem sie Bedrohungsinformationen wie die Nachricht von diesem Angriff verwenden, um ihre Geschäftsinteressen zu schützen.”