Mało się o tym w Polsce pisze, ale mija już tydzień od ataku ransomware, który uszkodził systemy komputerowe rządu Kostaryki. Kraj odmówił zapłacenia okupu. Walczy o wdrożenie obejścia i przygotowuje się, na ryzyka związane z faktem, że hakerzy zaczęli publikować skradzione informacje.
Rosyjskojęzyczny gang Conti przyznał się do ataku, ale rząd Kostaryki tego nie potwierdził.
Ministerstwo Finansów jako pierwsze zgłosiło problemy w poniedziałek. Wiele systemów zostało dotkniętych, od poboru podatków po systemy nadzorujące procesy importu i eksportu za pośrednictwem agencji celnej. Nastąpiły ataki na system kadrowy agencji zabezpieczenia społecznego i Ministerstwo Pracy, a także inne.
Początkowy atak zmusił Ministerstwo Finansów do zamknięcia na kilka godzin systemu odpowiedzialnego za wypłaty dużej części pracowników publicznych kraju, który obsługuje również wypłaty emerytur. Fiskus musiał także przedłużyć termin płatności podatków.
Conti nie opublikowało konkretnej kwoty okupu, ale prezydent Kostaryki Carlos Alvarado zapowiedział: „Rząd Kostaryki nie zapłaci nic tym cyberprzestępcom”. Kwota 10 milionów dolarów krążyła na platformach społecznościowych, ale nie pojawiła się na stronie Conti.
Według Securityweek firmy kostarykańskie martwią się poufnymi informacjami przekazanymi rządowi, które mogą zostać opublikowane i wykorzystane przeciwko nim, podczas gdy przeciętni obywatele martwią się, że osobiste informacje finansowe mogą zostać wykorzystane do „czyszczenia” ich kont bankowych.
Christian Rucavado, dyrektor wykonawczy Izby Eksporterów Kostaryki, powiedział, że atak na agencję celną pogrzebał krajową logistykę, import i eksport. Opisał wyścig z czasem. Łatwo psujące się przedmioty czekają w chłodniach, a w chwili obecnej trwają szacunki ekonomiczne. Handel jest możliwy, ale znacznie spowolniony.
„Niektóre punkty odpraw mają opóźnienia, ponieważ wykonują proces ręcznie” – powiedział Rucavado. „Poprosiliśmy rząd o różne działania, takie jak wydłużenie godzin pracy, aby mógł zająć się eksportem i importem”.
Kostaryka eksportuje dziennie średnio 38 milionów dolarów w produktach.
Allan Liska, analityk wywiadu w firmie zajmującej się bezpieczeństwem Recorded Future, powiedział, że Conti dąży do podwójnego wymuszenia: szyfrowania plików rządowych w celu zamrożenia zdolności agencji do działania i umieszczania skradzionych plików na stronach wyłudzeń grupy w darknecie, jeśli okup nie został zapłacony.
Powiedział, że pierwszą część można często przezwyciężyć, jeśli systemy mają dobre kopie zapasowe, ale druga jest trudniejsza w zależności od wrażliwości skradzionych danych.
Conti zazwyczaj wynajmuje swoją infrastrukturę oprogramowania ransomware „partnerom”, którzy płacą za usługę. Liska powiedział, że oddział atakujący Kostarykę może znajdować się w dowolnym miejscu na świecie.
Rok temu atak ransomware Conti zmusił irlandzki system opieki zdrowotnej do zamknięcia systemu informatycznego. Odwołano wizyty, zabiegi i operacje.
W zeszłym miesiącu Conti zobowiązał się do wsparcia rosyjskiej inwazji na Ukrainę. Ten ruch rozgniewał sympatyzujących z Ukrainą cyberprzestępców. Skłoniło to również badacza bezpieczeństwa, który od dawna obserwował Conti, do ujawnienia ogromnej skarbnicy komunikacji wewnętrznej wśród niektórych operatorów Conti.
Zapytany, dlaczego najbardziej stabilna demokracja Ameryki Środkowej, znana z tropikalnej przyrody i plaż, byłaby celem hakerów, Liska odpowiedziała, że motywacja zwykle ma więcej wspólnego ze słabościami. „Szukają konkretnych luk w zabezpieczeniach” – powiedział. „Najbardziej prawdopodobnym wyjaśnieniem jest więc to, że Kostaryka miała wiele luk w zabezpieczeniach, a jeden z podmiotów zajmujących się oprogramowaniem ransomware odkrył te luki i był w stanie je wykorzystać”.
Brett Callow, analityk oprogramowania ransomware w firmie Emsisoft, powiedział, że przyjrzał się jednemu z plików, które wyciekły z ministerstwa finansów Kostaryki i „nie ma większych wątpliwości, że dane są wiarygodne”.
W piątek strona Conti z wyłudzeniami wskazała, że opublikowała 50% skradzionych danych. Powiedział, że zawiera ponad 850 gigabajtów materiałów z baz danych Ministerstwa Finansów i innych instytucji. „To wszystko jest idealne do phishingu, życzymy naszym kolegom z Kostaryki powodzenia w monetyzacji tych danych” — napisano.
To wydaje się przeczyć twierdzeniu, że atak nie był motywowany finansowo.
Niemniej prezydent Alvaro mówi: „Moim zdaniem ten atak nie jest kwestią pieniędzy, ale raczej ma zagrozić stabilności kraju w punkcie przejściowym”, odnosząc się do swojej odchodzącej administracji i zaprzysiężenia nowego prezydenta Kostaryki 8 maja.
Alvarado wspomniał o możliwości, że atak był motywowany publicznym potępieniem przez Kostarykę inwazji Rosji na Ukrainę. „Nie można również oddzielić tego od złożonej globalnej sytuacji geopolitycznej w zdigitalizowanym świecie” – powiedział.