Ett gäng som heter ransomware vid namn Lapsus$ attackerade det största medieföretaget i Portugal, Impresa-gruppen, från och med nyårshelgen.
Attacken resulterade i att alla webbplatser som ägs av Impresa, SIC TV-kanaler och en populär veckotidning Expresso stängdes.
Enligt Recorded Future tog Lapsus-gruppen ansvaret för attacken och lämnade en lapp som förklarade att de hade fått tillgång till Amazon Web Services-kontot för Impresa.
Efter ransomware-attacken blev landets största mediekoncern och tv-kanal otillgänglig. Attacken störde företagets streamingmöjligheter medan Impresas kabel förblev i drift.
Enligt Nasser Fattah, den nordamerikanska styrkommitténs ordförande för delade bedömningar:
"Företagets stilleståndstid motsvarar en förlust av intäkter, i en eller annan form, vilket är en omedelbar biprodukt av ransomware,"
"Därav vikten av att göra ransomware-övningar för att inte bara förbereda sig på bästa sätt för en attack, utan också för att engagera verksamheten för att på bästa sätt förstå de ekonomiska konsekvenserna av systemavbrott."
Impresa har enligt uppgift återfått tillgången till sitt konto hos Amazon Web Services och har tagit bort alla sina webbplatser från underhåll. Men Lapsus använde ett verifierat Twitter-konto för Impresa och twittrade att de fortfarande har tillgång till företagets system.
Förutom Impresa rapporterade även flera andra medieföretag i Portugal ransomware-attacker. Tidningen Observador bekräftade en attack på Twitter.
Tidningen rapporterade att Opto-prenumeranter på streamingplattformarna som ägs av SIC fick texter från ransomware-gruppen som sa: "Vi tillkännager Lapsus$ som Portugals president." Prenumeranterna på Expresso-nyhetsbrevet fick också sms från hackergruppen som tog på sig ansvaret för attacken.
Tidningen rapporterade också att Impresa-gruppen arbetade med National Cybersecurity Centre (NCSC) och rättspolisen och skulle lämna in ett brottsanmälan. NCSC informerade Observador att den var i direkt kontakt med media.
Impresa hävdade att händelsen var en attack mot Portugals mediefrihet i den digitala eran.
Medan mediegruppen vägrade att avslöja beloppet för ransomware som Lapsus$ krävde, har hackergruppen meddelat att de ska läcka all data som stulits från medieföretaget om de inte kunde uppfylla sina krav på ransomware.
Även om det var den första attacken från hackergruppen i Portugal, verkar de vara ganska intresserade av de portugisisktalande länderna. Denna grupp attackerade också det brasilianska hälsoministeriet i december 2021 och raderade Covid-19-data värda 50 terabyte.
De attackerade också Brasiliens teleoperatör, Claro, men företaget misslyckades med att erkänna ransomware-attacken.
Enligt myndigheterna i Portugal var Impresas ransomware-attack den största i landets historia.
Enligt Elizabeth Wharton, Vice President of Operations på SCYTHE sa:
"Att kontinuerligt kunna validera människor, processer och teknologier kommer alltid att vara en kamp,"
"Ransomware-gäng som Lapsus$ kan använda samma taktik, tekniker och procedurer (TTP) för att utföra sina attacker, eller så kan de omordna TTP:erna att flyga under radarn. Företag måste kontinuerligt testa sina kontroller med hjälp av hotintelligens, som nyheten om denna attack, för att skydda sina affärsintressen."