Um ataque que aparenta de ser do tipo ransomware efetuado durante a madrugada deste domingo desfigurou os sites do grupo Impresa, incluindo Expresso, SIC e o próprio site institucional do grupo (impresa.pt).
Ao entrar nestes sites, os visitantes são surpreendidos por uma página com o aviso “Você sofreu um ransomware – Os dados serão vazados caso o valor necessário não for pago. Estamos com acesso nos paineis de cloud (AWS), entre outros tipos de dispositivos”. A informação inclui o contacto para pagamento do resgaste. A mensagem inclui, ainda, a revindicação do ataque: Lapsus Group. Não é indicado qualquer valor para o resgate. Recordamos que o ransomware é um tipo de ataque que ‘rapta’ os dados tornando-os inacessíveis aos legítimos proprietários, normalmente através de um sistema de encriptação.
O Lapsus Group foi associado ao ataque que bloqueou o site do Ministério da Saúde do Brasil no passado mês de dezembro. Este grupo também reivindicou um ataque à operadora de comunicações brasileira Claro entre 27 e 29 de dezembro.
Os atacantes também conseguiram controlar a conta Twitter do Expresso, o que parece indicar que o ataque não se terá limitado aos dados dos sites, já que para acesso à conta do Twitter é necessário ter acesso aos dados de utilizador (passwords).
A referência dos atacantes ao AWS (Amazon Web Services), serviço de alojamento utilizado pelo grupo Impresa, sugere que os hackers controlam este serviço, o que dificultará a recuparação do controlo dos sites.
Se é subscritor dos serviços da Impresa, siga as nossas recomendações de segurança.
Atualização
Ao início da tarde a Impresa recuperou o acesso ao serviço de alojamento e a imagem apresentada pelos hackers foi substituída por a mensagem “site temporariamente indisponível”. A Impresa ainda não divulgou quais os dados a que os hackers tiveram acesso.
