Una banda di ransomware chiamata Lapsus$ ha attaccato la più grande società di media del Portogallo, il gruppo Impresa, a partire dal fine settimana di Capodanno.
L'attacco ha portato alla chiusura di tutti i siti Web di proprietà di Impresa, dei canali SIC TV e di un popolare settimanale Expresso.
Secondo Recorded Future, il gruppo Lapsus si è assunto la responsabilità dell'attacco e ha lasciato un biglietto in cui dichiarava di aver ottenuto l'accesso all'account Amazon Web Services di Impresa.
Dopo l'attacco ransomware, il più grande gruppo mediatico e canale televisivo del paese non è più disponibile. L'attacco ha interrotto le capacità di streaming dell'azienda mentre il cavo di Impresa è rimasto operativo.
Secondo Nasser Fattah, presidente del comitato direttivo nordamericano delle valutazioni condivise:
"I tempi di fermo dell'azienda equivalgono a una perdita di entrate, in una forma o nell'altra, che è un sottoprodotto immediato del ransomware",
"Da qui l'importanza di eseguire esercizi da tavolo di ransomware non solo per prepararsi al meglio a un attacco, ma anche per coinvolgere l'azienda per comprendere al meglio l'impatto finanziario delle interruzioni del sistema".
Secondo quanto riferito, Impresa ha riacquistato l'accesso al suo account di Amazon Web Services e ha ritirato tutti i suoi siti Web dalla manutenzione. Ma Lapsus ha utilizzato un account Twitter verificato di Impresa e ha twittato di avere ancora accesso ai sistemi dell'azienda.
Fatta eccezione per Impresa, anche varie altre società di media portoghesi hanno segnalato attacchi ransomware. Il quotidiano Observador ha confermato un attacco su Twitter.
Il quotidiano ha riferito che gli abbonati Opto delle piattaforme di streaming di proprietà di SIC hanno ricevuto messaggi dal gruppo ransomware che dicevano: "Annunciamo Lapsus$ come presidente del Portogallo". Gli abbonati alla newsletter di Expresso hanno ricevuto anche messaggi dal gruppo di hacker che rivendicavano l'attacco.
Il quotidiano ha anche riferito che il gruppo Impresa stava lavorando con il National Cybersecurity Center (NCSC) e la Polizia giudiziaria e avrebbe presentato una denuncia penale. L'NCSC ha informato l'Observador di essere in contatto diretto con il media.
Impresa ha affermato che l'incidente è stato un attacco alla libertà dei media del Portogallo nell'era digitale.
Mentre il gruppo dei media si è rifiutato di rivelare l'importo del ransomware richiesto da Lapsus$, il gruppo di hacker ha annunciato di divulgare tutti i dati rubati alla società di media se non avesse soddisfatto le sue richieste di ransomware.
Anche se è stato il primo attacco del gruppo di hacker in Portogallo, sembrano piuttosto interessati ai paesi di lingua portoghese. Questo gruppo ha anche attaccato il Ministero della Salute brasiliano nel dicembre 2021 e cancellato i dati Covid-19 per un valore di 50 terabyte.
Hanno anche attaccato l'operatore di telecomunicazioni del Brasile, Claro, ma la società non ha riconosciuto l'attacco ransomware.
Secondo le autorità portoghesi, l'attacco ransomware di Impresa è stato il più grande nella storia del paese.
Secondo Elizabeth Wharton, il vicepresidente delle operazioni di SCYTHE ha dichiarato:
"Essere in grado di convalidare continuamente persone, processi e tecnologie sarà sempre una lotta",
"Le bande di ransomware come Lapsus$ possono utilizzare le stesse tattiche, tecniche e procedure (TTP) per eseguire i loro attacchi, oppure possono riordinare i TTP per volare sotto il radar. Le aziende devono testare continuamente i propri controlli utilizzando informazioni sulle minacce, come la notizia di questo attacco, per proteggere i propri interessi commerciali".