Atak ransomware na portugalski gigant mediów Impresa zakłóca działanie gazety Expresso i kanałów telewizyjnych SIC
Gang oprogramowania ransomware o nazwie Lapsus$ zaatakował największą firmę medialną w Portugalii, grupę Impresa, począwszy od weekendu Nowego Roku.
Atak spowodował zamknięcie wszystkich stron internetowych należących do Impresy, kanałów telewizyjnych SIC i popularnego tygodnika Expresso.
Zgodnie z Recorded Future, grupa Lapsus wzięła na siebie odpowiedzialność za atak i zostawiła notatkę, w której informowała, że uzyskała dostęp do konta Impresy w Amazon Web Services.
Po ataku ransomware największa grupa medialna i kanał telewizyjny w kraju stały się niedostępne. Atak zakłócił możliwości przesyłania strumieniowego firmy, podczas gdy kabel Impresy nadal działał.
Według Nassera Fattaha, przewodniczącego Wspólnego Komitetu Sterującego w Ameryce Północnej:
„Przestój firmy oznacza utratę przychodów, w takiej czy innej formie, co jest natychmiastowym produktem ubocznym oprogramowania ransomware"
„Stąd tak ważne jest wykonywanie ćwiczeń z oprogramowaniem ransomware, aby nie tylko jak najlepiej przygotować się na atak, ale także zaangażować firmę, aby jak najlepiej zrozumieć finansowe skutki awarii systemu”.
Impresa podobno odzyskała dostęp do swojego konta Amazon Web Services i wycofała wszystkie swoje witryny z konserwacji. Jednak Lapsus użył zweryfikowanego konta Impresy na Twitterze i napisał na Twitterze, że nadal mają dostęp do systemów firmy.
Oprócz Impresy, różne inne firmy medialne w Portugalii również zgłosiły ataki ransomware. Gazeta Observador potwierdziła atak na Twittera.
Gazeta podała, że abonenci Opto platform streamingowych należących do SIC otrzymali wiadomości od grupy zajmującej się oprogramowaniem ransomware, w których mówiono: „Ogłaszamy Lapsus$ jako prezydenta Portugalii”. Odbiorcy biuletynu Expresso otrzymali również teksty od grupy hakerskiej, która twierdzi, że jest odpowiedzialna za atak.
Gazeta poinformowała również, że Grupa Impresa współpracuje z Narodowym Centrum Cyberbezpieczeństwa (NCSC) i Policją Sądową i złoży skargę karną. NCSC poinformowało Obserwadora, że jest w bezpośrednim kontakcie z mediami.
Impresa stwierdziła, że incydent był atakiem na wolność mediów Portugalii w erze cyfrowej.
Podczas gdy grupa medialna odmówiła ujawnienia ilości oprogramowania ransomware żądanego przez Lapsus$, grupa hakerska ogłosiła, że ujawni wszystkie dane skradzione firmie medialnej, jeśli nie spełnią żądań oprogramowania ransomware.
Mimo że był to pierwszy atak grupy hakerskiej w Portugalii, wydaje się, że są dość zainteresowani krajami portugalskojęzycznymi. Grupa ta zaatakowała również brazylijskie Ministerstwo Zdrowia w grudniu 2021 r. i usunęła dane Covid-19 o wartości 50 terabajtów.
Zaatakowali również brazylijskiego operatora telekomunikacyjnego Claro, ale firma nie potwierdziła ataku ransomware.
Według władz Portugalii atak ransomware Impresa był największym w historii kraju.
Według Elizabeth Wharton, wiceprezes ds. operacyjnych w SCYTHE, powiedziała:
„Możliwość ciągłej walidacji ludzi, procesów i technologii zawsze będzie wyzwaniem”
„Gangi ransomware, takie jak Lapsus$, mogą używać tych samych taktyk, technik i procedur (TTP) do przeprowadzania swoich ataków lub mogą zmienić kolejność TTP, aby znalazły się poza zasięgiem radaru. Firmy muszą stale testować swoje mechanizmy kontrolne za pomocą analizy zagrożeń, takiej jak wiadomość o tym ataku, aby chronić swoje interesy biznesowe”.