Le géant portugais des médias commence 2022 sous une violation de ransomware

attaque de ransomware

Quelques heures seulement après la nouvelle année, le géant portugais des médias Impresa a été touché par une attaque de ransomware. Impresa est l'un des plus grands médias du pays, exploitant à la fois une gamme de chaînes de télévision et gérant le journal et le site Web des médias Expresso.

Selon les rapports, l'acteur responsable de l'attaque s'appelle « Lapsus $ », un gang de ransomware qui ne fait pas la une des journaux aussi souvent que d'autres noms plus importants.

Attaque à plusieurs niveaux

L'attaque du ransomware a affecté non seulement le site Web d'Expresso, mais également la chaîne de télévision SIC appartenant à Impressa, car les deux étaient hors ligne jusqu'aux jours ouvrables de la première semaine de 2022. Pour ajouter l'insulte à la blessure, l'acteur du ransomware a également compromis et détourné l'un des les comptes Twitter de l'entreprise, qui ont ensuite été utilisés pour se vanter de l'attaque.

Ce lundi, Impresa a publié un communiqué de presse, informant que les émissions télévisées utilisant les ondes et le câble ne sont pas affectées, la télévision en streaming étant uniquement hors ligne. Le groupe Lapsus$ a déposé sa demande de rançon sur les pages de l'entreprise compromises, Recorded Future publiant une capture d'écran de la note.

Peu de temps après l'attaque, Impresa a réussi à reprendre le contrôle des pages dégradées, en modifiant la demande de rançon avec les messages habituels de « service indisponible ». La demande de rançon publiée initialement sur les pages de la société ne contenait aucune information sur la rançon demandée et Impresa n'a pas non plus publié d'informations sur la rançon.

Qui est Lapsus$ ?

La précédente attaque la plus notoire du gang de ransomware Lapsus$ visait le ministère brésilien de la Santé et a eu lieu fin 2021. L'attaque a anéanti les dossiers liés à Covid de millions de citoyens brésiliens. C'est la première fois que l'acteur de la menace cible une entité sur le sol portugais et il semble que le groupe se concentre sur les pays à population lusophone.

Threatpost a cité Dave Pasirstein de TruU, qui a déclaré que les ransomwares "ne disparaissent tout simplement pas", en raison de l'impossibilité virtuelle de se protéger contre chaque vecteur d'attaque unique dans l'infrastructure actuelle, et des paiements lucratifs souvent associés à ce crime.