Ransomware-hyökkäys Portugalin mediajättiläiseen Impresaan häiritsee Expresson sanomalehtiä ja SIC-televisiokanavia
Lapsus$-niminen ransomware-jengi hyökkäsi Portugalin suurimman mediayhtiön Impresa-konsernin kimppuun uudenvuoden viikonlopusta alkaen.
Hyökkäys johti kaikkien Impresan, SIC-televisiokanavien ja suositun viikkolehden Expresson omistamien verkkosivustojen sulkemiseen.
Recorded Future -tietojen mukaan Lapsus-ryhmä otti vastuun hyökkäyksestä ja jätti muistiin, jossa he ilmoittivat saaneensa pääsyn Impresan Amazon Web Services -tiliin.
Kiristysohjelmahyökkäyksen jälkeen maan suurin mediaryhmä ja tv-kanava lakkasivat toimimasta. Hyökkäys häiritsi yrityksen suoratoistokykyä Impresan kaapelin pysyessä toiminnassa.
Pohjois-Amerikan ohjauskomitean yhteisten arvioiden puheenjohtajan Nasser Fattahin mukaan:
"Yrityksen seisokit merkitsevät tavalla tai toisella tulonmenetystä, joka on kiristysohjelmien välitön sivutuote."
"Tästä syystä on tärkeää tehdä lunnasohjelmaharjoituksia, jotta voidaan valmistautua hyökkäykseen parhaalla mahdollisella tavalla, mutta myös saada yritys mukaan ymmärtämään parhaiten järjestelmäkatkosten taloudelliset vaikutukset."
Impresan kerrotaan saaneen takaisin pääsyn Amazon Web Services -tililleen ja poistanut kaikki verkkosivustonsa ylläpidosta. Lapsus käytti kuitenkin Impresan vahvistettua Twitter-tiliä ja twiittasi, että heillä on edelleen pääsy yrityksen järjestelmiin.
Impresaa lukuun ottamatta useat muut portugalilaiset mediayhtiöt ilmoittivat myös kiristysohjelmahyökkäyksistä. Observador-lehti vahvisti hyökkäyksen Twitterissä.
Sanomalehti kertoi, että SIC:n omistamien suoratoistoalustojen Opto-tilaajat saivat kiristyshaittaohjelmaryhmältä tekstejä, joissa kerrottiin: "Julkaisemme Lapsus$:n Portugalin presidentiksi." Expresson uutiskirjeen tilaajat saivat myös tekstiviestejä hakkerointiryhmältä, joka ilmoitti olevansa vastuussa hyökkäyksestä.
Sanomalehti kertoi myös, että Impresa Group teki yhteistyötä National Cybersecurity Centerin (NCSC) ja oikeuspoliisin kanssa ja tekisi rikosilmoituksen. NCSC ilmoitti Observadorille, että se oli suoraan yhteydessä tiedotusvälineeseen.
Impresa väitti tapauksen olleen hyökkäys Portugalin mediavapautta vastaan digitaalisella aikakaudella.
Mediaryhmä kieltäytyi paljastamasta Lapsus$:n vaatimaa kiristysohjelmien määrää, mutta hakkerointiryhmä on ilmoittanut vuotavansa kaikki mediayhtiöltä varastetut tiedot, jos he eivät pysty täyttämään kiristysohjelmavaatimuksiaan.
Vaikka se oli hakkerointiryhmän ensimmäinen hyökkäys Portugalissa, he näyttävät olevan kiinnostuneita portugalinkielisistä maista. Tämä ryhmä hyökkäsi myös Brasilian terveysministeriötä vastaan joulukuussa 2021 ja poisti 50 teratavun arvoisen Covid-19-datan.
He hyökkäsivät myös Brasilian teleoperaattorin Claron kimppuun, mutta yritys ei tunnustanut kiristysohjelmahyökkäystä.
Portugalin viranomaisten mukaan Impresan lunnasohjelmahyökkäys oli maan historian suurin.
Elizabeth Whartonin mukaan SCYTHE:n varatoimitusjohtaja sanoi:
"Ihmisten, prosessien ja tekniikoiden jatkuva validointi on aina vaikeaa."
"Lansomware-jengit, kuten Lapsus$, voivat käyttää samoja taktiikoita, tekniikoita ja menettelytapoja (TTP) hyökkäyksiensä suorittamiseen tai ne voivat järjestää TTP:t uudelleen lentämään tutkan alle. Yritysten on jatkuvasti testattava valvontaansa uhkatiedon avulla, kuten tämän hyökkäyksen uutiset, suojellakseen liiketoimintaetujaan."