Portugiesischer Medienriese startet 2022 unter Ransomware-Verletzung

Ransomware-Angriff

Innerhalb weniger Stunden des neuen Jahres wurde der portugiesische Medienriese Impresa von einem Ransomware-Angriff getroffen. Impresa ist eines der größten Medienunternehmen des Landes und betreibt sowohl eine Reihe von TV-Kanälen als auch die Expresso-Zeitung und die Medien-Website.

Berichten zufolge handelt es sich bei dem für den Angriff verantwortlichen Bedrohungsakteur um „Lapsus$" – eine Ransomware-Gang, die nicht so oft in den Schlagzeilen landet wie manch andere, größere Namen.

Mehrstufiger Angriff

Der Ransomware-Angriff betraf nicht nur die Expresso-Website, sondern auch den Impressa-eigenen SIC-Fernsehsender, da beide bis in die Arbeitstage der ersten Woche des Jahres 2022 offline waren. Um die Verletzung noch schlimmer zu machen, kompromittiert und entführt der Ransomware-Akteur auch einen der Twitter-Accounts des Unternehmens, der später verwendet wurde, um mit dem Angriff zu prahlen..

An diesem Montag veröffentlichte Impresa eine Pressemitteilung, in der sie darüber informiert, dass TV-Sendungen über Äther und Kabel nicht betroffen sind, da nur Streaming-TV offline ist. Die Lapsus$-Gruppe ließ ihre Lösegeldforderung auf den kompromittierten Firmenseiten, und Recorded Future veröffentlichte einen Screenshot der Notiz.

Kurz nach dem Angriff gelang es Impresa, die verunstalteten Seiten wieder unter seine Kontrolle zu bringen und die Lösegeldforderung mit den üblichen „Dienst nicht verfügbar"-Meldungen zu ändern. Die zunächst auf den Seiten des Unternehmens veröffentlichte Lösegeldforderung enthielt keine Informationen über das geforderte Lösegeld und auch Impresa hat keine Informationen über das Lösegeld veröffentlicht.

Wer ist Lapsus$?

Der bisher berüchtigtste Angriff der Lapsus$-Ransomware-Gang richtete sich gegen das brasilianische Gesundheitsministerium und fand Ende 2021 statt. Der Angriff löschte die Covid-bezogenen Aufzeichnungen von Millionen brasilianischer Bürger aus. Dies ist das erste Mal, dass der Bedrohungsakteur eine Entität auf portugiesischem Boden ins Visier nimmt, und es scheint, dass sich die Gruppe auf Länder mit einer portugiesischsprachigen Bevölkerung konzentriert.

Threatpost zitierte Dave Pasirstein von TruU, der feststellte, dass Ransomware einfach "nicht verschwinden wird", da es praktisch unmöglich ist, sich in der aktuellen Infrastruktur gegen jeden einzelnen Angriffsvektor zu schützen, und aufgrund der lukrativen Gewinne, die oft mit diesem Verbrechen verbunden sind.