O incidente que afetou o grupo Impresa é o mais recente de uma longa lista de ciberataques a meios de comunicação, incluindo jornais, revistas, entre outros.
Os especialistas em cibersegurança da S21sec referem que este tipo de ataques é cada vez mais comum e, apesar de afetar organizações de todos os setores e dimensões, ultimamente estão a virar-se para os media: “Os cibercriminosos – neste caso, pertencentes ao Lapsus$ – obtêm informações privadas dos meios de comunicação e aproveitam-se desses dados para começar um processo de chantagem, normalmente relacionada com extorsão de dinheiro”, aponta a S21sec.
“Tanto quanto foi possível apurar até ao momento, sujeito a análises técnicas que ainda decorrem, os atacantes acederam aos meios de controlo da plataforma de cloud AWS, bem como aos painéis de controlo de serviços externos utilizados para comunicar com os assinantes e subscritores, realizando o envio de comunicações não solicitadas (emails e SMS)”, afirma a Impresa que conseguiu retomar o controlo da cloud durante a tarde do dia 2 de janeiro, lançando, contudo, sites provisórios.
Depois de acederem aos servidores Amazon Web Services do grupo Impresa, os cibercriminosos ameaçaram divulgar a informação obtida se a empresa não efetuasse um pagamento, como indicado numa nota de resgate carregada nas páginas web da Impresa, ainda que os responsáveis da Impresa garantem que não solicitado nenhum pedido de resgate.
A S21sec declara que os cibercriminosos também levaram a cabo ações de defacing, um tipo de ataque dirigido a um website, caracterizado pela modificação da sua aparência visual.
Dados pessoais
Para quem é assinante do Expresso e subscritor da Opto, a Imprensa declara que “alguns dados pessoais foram acedidos pelos atacantes. Concretamente, os dados de identificação e contacto associados ao login, como o seu nome, email e contacto telefónico”.
A empresa acrescenta que “não houve quaisquer dados pessoais de assinantes/utilizadores/subscritores que tenham sido destruídos ou apagados das referidas bases de dados”.
Sobre se os atacantes tiveram acesso às passwords que utilizo para aceder ao Expresso e ao Opto, a Impresa declara não ter tido “evidências de que os atacantes tiveram acesso às suas passwords. Sem prejuízo disto, é sempre boa prática alterar passwords regularmente e não utilizar a mesma password em serviços diferentes”.
Quanto aos dados do cartão de crédito que utilizo para pagar a assinatura do Expresso e a subscrição do Opto, a empresa dá a mesma resposta: “Não temos evidências de que os atacantes tiveram acesso a esta informação”.
Ataque em investigação
O Grupo Impresa, titular das marcas Expresso, SIC e OPTO, dá conta de que o ataque informático de que a empresa foi alvo na madrugada do dia 2 de janeiro de 2022 e aparentemente reivindicado por um grupo que se identificou como “LAPSUS$”, está em investigação pelas autoridades competentes, tendo o Grupo Impresa, tal como comunicado no próprio dia 2 de janeiro, contado com a colaboração da Polícia Judiciária e do Centro Nacional de Cibersegurança.
“O procedimento criminal já se encontra a correr e o incidente em apreço já é do conhecimento da Comissão Nacional de Proteção de Dados”, refere a Impresa.
“Este ataque, contrariamente ao noticiado, não foi da tipologia ransomware, não tendo sido efetuado qualquer pedido de pagamento (‘resgate’). Tratou-se, na verdade, de uma ação de destruição e sabotagem massiva e gratuita de informação, infraestrutura e sistemas do Grupo Impresa”, diz a empresa em comunicado dirigido aos assinantes, utilizadores e subscritores.
O Grupo Impresa “envidou todos os esforços para a neutralização do ataque informático, tendo criado uma task force para gestão do mesmo, e acionado todas as medidas técnicas e procedimentos legais aplicáveis”.
Grupos de Ameaça Persistente Avançada
Esta ameaça multiplicou-se nos últimos anos, tendo surgido vários grupos APT (“Advanced Persistent Threat”, ou seja, Grupos de Ameaça Persistente Avançada).
A S21sec lembra o incidente que envolveu a Sony, que sofreu uma grande quebra de segurança depois de ter sido vítima do grupo norte-coreano Lazarus em 2014; bem como outros “grupos hacktivistas, tais como os que atacaram os meios de comunicação israelitas no aniversário do assassinato de Soleimani”.
Os especialistas da S21sec recordam que nos últimos meses, foram observados ataques direcionados contra grupos de media, tais como o ataque de ransomware contra o grupo norueguês Amedia (o segundo maior grupo de media do país e um dos mais importantes a nível europeu); o incidente de segurança em outubro que levou à fuga de milhares de dados do Twitch, uma plataforma utilizada por numerosos meios de comunicação social para a publicação de notícias ou programas; o ataque de ransomware nesse mesmo mês contra o grupo de comunicação social americano Sinclair, que levou a que se paralisassem as emissões televisivas, ou a operação de ciberespionagem contra jornalistas com o spyware Pegasus.
O que fazer num cenário destes?
Como recomendações e no caso das pessoas receberem uma comunicação fraudulenta do Expresso intitulada «“Breaking” Presidente afastado e acusado de homicídio: Lapsus$ é o novo presidente de Portugal» e um SMS suspeito do Opto, devem apagar e nunca carregar em hiperligações de quaisquer comunicações desse tipo. “Os atacantes podem explorar tais comportamentos para desencadear ações lesivas, como o phishing de credenciais”, explica a empresa.
Para evitar este tipo de ataque, os especialistas em cibersegurança da S21sec recomendam que se mantenham os sistemas operativos atualizados, antivírus em computadores, WAF, segurança de servidores, entre outros, “e que se informe e sensibilize os colaboradores das organizações, uma vez que o fator humano é geralmente o elo mais fraco nas organizações e é a porta de entrada que permite que estes ciberataques aconteçam”.
A S21sec indica diferentes recomendações que todos os profissionais devem seguir para tentar impedir estes ciberataques de ocorrerem, independentemente da área de atuação da empresa ou da sua dimensão, entre os quais “não abrir anexos de fontes desconhecidas, não abrir mensagens de email marcadas como spam, ligar dispositivos USB desconhecidos nos computadores”, “evitar a navegação em ambientes web não confiáveis, mesmo que o sistema esteja atualizado e possua software antivírus” e “utilizar Hypertext Transfer Protocol Secure (HTTPS), em vez de HTTP”.
A nível de empresas, a S21sec recomenda a existência de um serviço de gestão EDR (Endpoint Detection and Response) que possa modelar o comportamento deste tipo de ataques, a fim de os detetar e remediar numa fase inicial.
“Os meios de comunicação social são um pilar básico quando se trata de manter a sociedade informada sobre o que está a acontecer e é essencial que estejam bem protegidos contra ciberataques que pretendam roubar informações e peçam restastes; inclusão de notícias falsas ou mensagens de ódio e medo com repercussões na sociedade; a sua utilização para promover falsos negócios ou atividades (burlas, phishing…); obtenção de benefícios económicos”, conclui esta empresa de cibersegurança.
