Uma gangue de ransomware chamada Lapsus$ atacou a maior empresa de mídia de Portugal, o grupo Impresa, a partir do fim de semana de Ano Novo.
O ataque resultou no encerramento de todos os sites da Impresa, dos canais SIC TV e do popular jornal semanal Expresso.
De acordo com o Recorded Future, o grupo Lapsus assumiu a responsabilidade pelo ataque e deixou uma nota declarando que havia obtido acesso à conta Amazon Web Services da Impresa.
Após o ataque de ransomware, o maior grupo de mídia e canal de TV do país ficou indisponível. O ataque interrompeu os recursos de streaming da empresa enquanto o cabo da Impresa permaneceu operacional.
De acordo com Nasser Fattah, presidente do Comitê Diretivo da América do Norte de Avaliações Compartilhadas:
“O tempo de inatividade da empresa equivale a uma perda de receita, de uma forma ou de outra, que é um subproduto imediato do ransomware".
“Daí a importância de fazer exercícios de mesa de ransomware não apenas para se preparar melhor para um ataque, mas também para envolver a empresa e entender melhor o impacto financeiro das interrupções do sistema.”
A Impresa recuperou o acesso à sua conta da Amazon Web Services e retirou todos os seus sites da manutenção. Mas, Lapsus usou uma conta verificada no Twitter da Impresa e twittou que eles ainda têm acesso aos sistemas da empresa.
Com exceção da Impresa, várias outras empresas de mídia de Portugal também relataram ataques de ransomware. O jornal Observador confirmou um ataque ao Twitter.
O jornal noticiou que os assinantes da Opto das plataformas de streaming da SIC receberam textos do grupo de ransomware dizendo: “Anunciamos Lapsus$ como presidente de Portugal”. Os assinantes da newsletter do Expresso também receberam textos do grupo de hackers reivindicando a autoria do ataque.
O jornal informou ainda que o Grupo Impresa está a trabalhar com o Centro Nacional de Cibersegurança (NCSC) e a Polícia Judiciária e vai apresentar queixa-crime. O NCSC informou ao Observador que estava em contato direto com a mídia.
A Impresa alegou que o incidente foi um ataque à liberdade de imprensa de Portugal na era digital.
Enquanto o grupo de mídia se recusou a divulgar a quantidade de ransomware exigida pelo Lapsus$, o grupo de hackers anunciou o vazamento de todos os dados roubados da empresa de mídia se eles não atendessem às suas demandas de ransomware.
Apesar de ter sido o primeiro ataque do grupo de hackers em Portugal, parecem bastante interessados nos países de língua portuguesa. Esse grupo também atacou o Ministério da Saúde brasileiro em dezembro de 2021 e excluiu os dados do Covid-19 no valor de 50 Terabytes.
Eles também atacaram a operadora de telecomunicações do Brasil, Claro, mas a empresa não reconheceu o ataque de ransomware.
De acordo com as autoridades de Portugal, o ataque de ransomware da Impresa foi o maior da história do país.
De acordo com Elizabeth Wharton, o vice-presidente de operações da SCYTHE disse:
“Ser capaz de validar continuamente pessoas, processos e tecnologias sempre será uma luta.”
“Grupos de ransomware como Lapsus$ podem usar as mesmas táticas, técnicas e procedimentos (TTPs) para realizar seus ataques, ou podem reordenar os TTPs para voar sob o radar. As empresas precisam testar continuamente seus controles usando inteligência de ameaças, como as notícias deste ataque, para proteger seus interesses comerciais.”