Un gang de rançongiciels appelé Lapsus$ a attaqué la plus grande entreprise de médias du Portugal, le groupe Impresa, à partir du week-end du Nouvel An.
L'attaque a entraîné la fermeture de tous les sites Web appartenant à Impresa, aux chaînes de télévision SIC et à l'hebdomadaire populaire Expresso.
Selon Recorded Future, le groupe Lapsus a pris la responsabilité de l'attaque et a laissé une note déclarant qu'il avait eu accès au compte Amazon Web Services d'Impresa.
Après l'attaque du rançongiciel, le plus grand groupe de médias et chaîne de télévision du pays est devenu indisponible. L'attaque a perturbé les capacités de streaming de l'entreprise tandis que le câble d'Impresa est resté opérationnel.
Selon Nasser Fattah, président du comité directeur nord-américain des évaluations partagées :
"Les temps d'arrêt de l'entreprise équivaut à une perte de revenus, sous une forme ou une autre, qui est un sous-produit immédiat du ransomware,"
"D'où l'importance de faire des exercices sur table contre les ransomwares non seulement pour se préparer au mieux à une attaque, mais aussi pour inciter l'entreprise à mieux comprendre l'impact financier des pannes du système."
Impresa aurait retrouvé l'accès à son compte Amazon Web Services et aurait retiré tous ses sites Web de la maintenance. Mais, Lapsus a utilisé un compte Twitter vérifié d'Impresa et a tweeté qu'ils avaient toujours accès aux systèmes de l'entreprise.
À l'exception d'Impresa, diverses autres sociétés de médias du Portugal ont également signalé des attaques de rançongiciels. Le journal Observador a confirmé une attaque sur Twitter.
Le journal a rapporté que les abonnés Opto des plateformes de streaming appartenant à SIC avaient reçu des SMS du groupe de rançongiciels disant: «Nous annonçons Lapsus$ comme président du Portugal ». Les abonnés de la newsletter Expresso ont également reçu des SMS du groupe de piratage revendiquant l'attaque.
Le journal a également rapporté que le groupe Impresa travaillait avec le Centre national de cybersécurité (NCSC) et la police judiciaire et déposerait une plainte pénale. Le NCSC a informé l'Observador qu'il était en contact direct avec le média.
Impresa a affirmé que l'incident était une attaque contre la liberté des médias au Portugal à l'ère numérique.
Alors que le groupe de médias a refusé de divulguer le montant du ransomware demandé par Lapsus$, le groupe de piratage a annoncé qu'il divulguerait toutes les données volées à la société de médias s'il ne répondait pas à ses demandes de ransomware.
Même s'il s'agissait de la première attaque du groupe de piratage au Portugal, ils semblent assez intéressés par les pays lusophones. Ce groupe a également attaqué le ministère brésilien de la Santé en décembre 2021 et supprimé les données Covid-19 d'une valeur de 50 téraoctets.
Ils ont également attaqué l'opérateur de télécommunications du Brésil, Claro, mais l'entreprise n'a pas reconnu l'attaque par ransomware.
Selon les autorités portugaises, l'attaque par ransomware d'Impresa a été la plus importante de l'histoire du pays.
Selon Elizabeth Wharton, la vice-présidente des opérations de SCYTHE a déclaré :
"Être en mesure de valider en permanence les personnes, les processus et les technologies sera toujours difficile",
«Les gangs de ransomwares comme Lapsus $ peuvent utiliser les mêmes tactiques, techniques et procédures (TTP) pour mener à bien leurs attaques, ou ils peuvent réordonner les TTP pour voler sous le radar. Les entreprises doivent tester en permanence leurs contrôles à l'aide de renseignements sur les menaces, comme les nouvelles de cette attaque, pour protéger leurs intérêts commerciaux.