Gigante de los medios portugueses comienza 2022 bajo una violación de ransomware

ataque de ransomware

A las pocas horas del año nuevo, el gigante de los medios portugueses Impresa fue golpeado por un ataque de ransomware. Impresa es uno de los medios de comunicación más grandes del país, que opera tanto una variedad de canales de televisión como el periódico Expresso y el sitio web de medios.

Según los informes, el actor de amenazas responsable del ataque se conoce con el nombre de 'Lapsus $', una banda de ransomware que no termina en los titulares con tanta frecuencia como otros nombres más importantes.

Ataque de varios niveles

El ataque de ransomware afectó no solo al sitio web de Expresso, sino también a la estación de televisión SIC, propiedad de Impressa, ya que ambos estuvieron desconectados durante los días laborables de la primera semana de 2022. Para colmo de males, el actor de ransomware también comprometió y secuestró uno de los las cuentas de Twitter de la empresa, que luego se utilizó para presumir del ataque.

Este lunes Impresa publicó un comunicado de prensa, informando que las retransmisiones de televisión que utilizan ondas de radio y cable no se ven afectadas, quedando solo la retransmisión de televisión sin conexión. El grupo Lapsus $ dejó caer su nota de rescate en las páginas de la empresa comprometidas, y Recorded Future publicó una captura de pantalla de la nota.

Poco después del ataque, Impresa logró recuperar las páginas desfiguradas bajo su control, cambiando la nota de rescate con los mensajes habituales de "servicio no disponible". La nota de rescate publicada inicialmente en las páginas de la compañía no contenía ninguna información sobre el rescate exigido e Impresa tampoco ha publicado ninguna información sobre el rescate.

¿Quién es Lapsus $?

El ataque más notorio anterior de la banda de ransomware Lapsus $ estaba dirigido al Ministerio de Salud de Brasil y tuvo lugar a fines de 2021. El ataque borró los registros relacionados con Covid de millones de ciudadanos brasileños. Esta es la primera vez que el actor de la amenaza apunta a una entidad en suelo portugués y parece que el grupo se centra en países con una población de habla portuguesa.

Threatpost citó a Dave Pasirstein de TruU, quien afirmó que el ransomware simplemente "no va a desaparecer", debido a la virtual imposibilidad de protegerse contra cada vector de ataque en la infraestructura actual, ya los lucrativos pagos a menudo asociados con este crimen.