Un par de ataques de ransomware paralizaron partes del país y reescribieron las reglas del delito cibernético.
En los últimos dos meses, Costa Rica ha estado sitiada. Dos grandes ataques de ransomware han paralizado muchos de los servicios esenciales del país, sumiendo al gobierno en el caos mientras se esfuerza por responder. Los funcionarios dicen que el comercio internacional se detuvo cuando el ransomware se apoderó y se reprogramaron más de 30,000 citas médicas, mientras que los pagos de impuestos también se interrumpieron. Se han perdido millones debido a los ataques, y el personal de las organizaciones afectadas ha recurrido a lápiz y papel para hacer las cosas.
El gobierno de Costa Rica, que cambió a la mitad de los ataques después de las elecciones a principios de este año, declaró una “emergencia nacional” en respuesta al ransomware, lo que marca la primera vez que un país lo hace en respuesta a un ataque cibernético. Veintisiete organismos gubernamentales fueron objeto de los primeros ataques, que se extendieron desde mediados de abril hasta principios de mayo, según el nuevo presidente Rodrigo Chaves. El segundo ataque, a fines de mayo, ha puesto en espiral el sistema de salud de Costa Rica. Chaves ha declarado la “guerra” a los responsables.
En el corazón de la ola de piratería se encuentra Conti, la notoria banda de ransomware vinculada a Rusia. Conti se atribuyó la responsabilidad del primer ataque contra el gobierno de Costa Rica y se cree que tiene algunos vínculos con la operación de ransomware como servicio HIVE, que fue responsable del segundo ataque que afectó al sistema de atención médica. El año pasado, Conti extorsionó a sus víctimas por más de $180 millones y tiene un historial de atacar a organizaciones de atención médica. Sin embargo, en febrero se publicaron en línea miles de mensajes y archivos internos del grupo después de que respaldara la guerra de Rusia contra Ucrania.
“Emergencia Nacional”
El primer ataque de ransomware contra el gobierno de Costa Rica comenzó durante la semana del 10 de abril. A lo largo de la semana, Conti probó los sistemas del Ministerio de Hacienda, explica Jorge Mora, exdirector del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICIT) que ayudaron a liderar la respuesta a los ataques. Para la madrugada del 18 de abril, los archivos dentro del Ministerio de Finanzas habían sido encriptados y dos sistemas clave habían sido paralizados: el servicio de impuestos digitales y el sistema de TI para el control de aduanas.
“Afectan todos los servicios de exportación/importación en el país de los productos”, dice Mora, quien dejó el gobierno el 7 de mayo antes del cambio de gobierno. Mario Robles, director general y fundador de la empresa costarricense de ciberseguridad White Jaguars, estima que se han visto afectados “varios terabytes” de datos y más de 800 servidores del Ministerio de Hacienda. Robles dice que su empresa ha estado involucrada en la respuesta a los ataques, pero dice que no puede nombrar con quién ha trabajado.
“El sector privado se vio muy afectado”, dice Mora. Los informes locales dicen que las empresas de importación y exportación se enfrentaron a la escasez de contenedores de envío y las pérdidas estimadas van desde $ 38 millones por día hasta $ 125 millones en 48 horas. “La interrupción paralizó las importaciones y exportaciones del país, lo que tuvo un gran impacto en el comercio”, dice Joey Milgram, gerente de país para Costa Rica en la empresa de ciberseguridad Soluciones Seguras. “Implementaron, después de 10 días, un formulario manual para importar, pero tomaba mucho papeleo y muchos días para procesarlo”, agrega Milgram.
Pero el ataque contra el Ministerio de Hacienda fue solo el comienzo. Una línea de tiempo compartida por Mora afirma que Conti intentó violar diferentes organizaciones gubernamentales casi todos los días entre el 18 de abril y el 2 de mayo. Las autoridades locales, como la Municipalidad de Buenos Aires, fueron atacadas, así como las organizaciones del gobierno central, incluido el Ministerio de Trabajo y Seguridad Social. En algunos casos, Conti tuvo éxito; en otros, fracasó. Mora dice que EE.UU., España y empresas privadas ayudaron a defenderse de los ataques de Conti, proporcionando software e indicadores de compromisos relacionados con el grupo. “Eso bloqueó mucho a Conti”, dice. (A principios de mayo, EE. UU. publicó una recompensa de 10 millones de dólares por información sobre el liderazgo de Conti).
El 8 de mayo, Chaves inició su mandato de cuatro años como presidente e inmediatamente declaró una “emergencia nacional” debido a los ataques de ransomware, llamando a los atacantes “ciberterroristas”. Nueve de los 27 cuerpos atacados estaban “muy afectados”, dijo Chaves el 16 de mayo. El MICIT, que supervisa la respuesta a los ataques, no respondió a las preguntas sobre el progreso de la recuperación, a pesar de que originalmente ofreció concertar una entrevista .“Todas las instituciones nacionales no tienen suficientes recursos”, dice Robles. Durante la recuperación, dice, ha visto organizaciones que funcionan con software heredado, lo que dificulta mucho la habilitación de los servicios que brindan. Algunos cuerpos, dice Robles, “ni siquiera tienen una persona trabajando en ciberseguridad”. Mora agrega que los ataques muestran que los países latinoamericanos necesitan mejorar su resiliencia en ciberseguridad, introducir leyes para hacer obligatorio el reporte de ciberataques y asignar más recursos para proteger las instituciones públicas. Pero justo cuando Costa Rica comenzaba a dominar los ataques de Conti, se produjo otro golpe de martillo. El 31 de mayo comenzó el segundo ataque. Los sistemas de la Caja Costarricense de Seguro Social (CCSS), que organiza la atención de la salud, fueron desconectados, sumiendo al país en un nuevo tipo de desorden. Esta vez se culpó al ransomware HIVE, que tiene algunos vínculos con Conti. El ataque tuvo un efecto inmediato en la vida de las personas. Los sistemas de atención médica se desconectaron y las impresoras arrojaron basura, como informó por primera vez el periodista de seguridad Brian Krebs. Desde entonces, los pacientes se han quejado de las demoras en recibir tratamiento y la CCSS ha advertido a los padres cuyos hijos estaban siendo operados que podrían tener problemas para localizar a sus hijos. El servicio de salud también ha comenzado a imprimir formularios en papel discontinuados. Para el 3 de junio, la CCSS había declarado una “emergencia institucional”, con informes locales que afirman que 759 de los 1500 servidores y 10400 computadoras se han visto afectados. Un vocero de la CCSS dice que los servicios hospitalarios y de emergencia ahora funcionan con normalidad y los esfuerzos de su personal han mantenido la atención. Sin embargo, aquellos que buscan atención médica han enfrentado interrupciones significativas: se han reprogramado 34,677 citas al 6 de junio. (La cifra es el 7 por ciento del total de citas; la CCSS dice que se han realizado 484,215 citas). Imágenes médicas, farmacias, laboratorios de pruebas, y los quirófanos se enfrentan a algunas interrupciones.
La muerte de Conti
Hay dudas sobre si los dos ataques de ransomware separados contra Costa Rica están vinculados. Sin embargo, aparecen cuando la cara del ransomware puede estar cambiando. En las últimas semanas, las pandillas de ransomware vinculadas a Rusia han cambiado sus tácticas para evitar las sanciones de EE . UU. y están peleando por su territorio más de lo habitual.
Conti anunció por primera vez su ataque al Ministerio de Hacienda en su blog, donde publica los nombres de sus víctimas y, si no pagan el rescate, los archivos que les ha robado. Una persona o grupo que se autodenominó unc1756 (la abreviatura “UNC” es utilizada por algunas empresas de seguridad para indicar atacantes “no clasificados”) usó el blog para reclamar la responsabilidad del ataque. El atacante exigió $10 millones como pago de rescate, y luego aumentó la cifra a $20 millones. Cuando no se realizó ningún pago, comenzaron a cargar/subir 672 GB de archivos en el sitio web de Conti.
Sin embargo, el comportamiento de Conti fue más errático e inquietante de lo habitual: el atacante pasó a la política. “Hago un llamado a todos los residentes de Costa Rica, acudan a su gobierno y organicen mítines”, decía una publicación en el blog de Conti . “Estamos decididos a derrocar al gobierno por medio de un ataque cibernético”, decía otra publicación dirigida a Costa Rica y “terroristas estadounidenses (Biden y su administración)”.“Creo que nunca vi a los ciberdelincuentes usar, al menos públicamente, tal retórica contra ningún gobierno”, dice Sergey Shykevich, gerente del grupo Threat Intelligence de la firma de seguridad Check Point, quien también señala que Conti atacó al Ministerio de Finanzas y la agencia de inteligencia de Perú por la misma razón momento en que atacó a Costa Rica. Shykevich dice que el comportamiento de Conti fue criticado en foros de hacking en idioma ruso, ya que meterse en política atraería más atención a los grupos de ciberdelincuencia. Algunos creen que el ataque de Conti contra Costa Rica pudo haber sido diseñado como una distracción. El 19 de mayo, la empresa de ciberseguridad con sede en EE. UU. AdvIntel declaró muertas las operaciones de Conti y dijo que el grupo había comenzado a desmantelar su marca, pero no su estructura organizativa general, a principios de mayo. Citando la visibilidad dentro de la pandilla, AdvIntel dijo que el panel de administración del sitio web de noticias de Conti ha sido cerrado. “El sitio del servicio de negociaciones también estaba inactivo, mientras que el resto de la infraestructura, desde las salas de chat hasta los mensajeros, y desde los servidores hasta los hosts proxy, estaba pasando por un reinicio masivo”, dijo AdvIntel en una sesión informativa. Desde que Conti expresó su apoyo a la guerra de Vladimir Putin en Ucrania y amenazó con piratear a cualquiera que atacara a Rusia, el grupo ha tenido problemas para ganar dinero. “Ahora es considerablemente más difícil para ellos obtener pagos de las víctimas estadounidenses”, dice Callow. “Varias firmas de negociación ya no realizarán transacciones con ellos por temor a infringir las sanciones de la OFAC , y algunas empresas no necesariamente querrán tratar con ellos porque no quieren que se los vea como posibles patrocinadores del terrorismo”. ADVIntel va más allá y dice que Conti no pudo “apoyar y obtener la extorsión lo suficiente”, lo que llevó al grupo a arremeter.
Varias semanas después, el CEO de AdvIntel, Vitali Kremez, dice que los servicios de Conti aún están fuera de línea. El ataque de Costa Rica, al menos a los ojos de AdVIntel, tenía como objetivo dar cobertura a Conti mientras continuaba renombrándose y comenzando a usar diferentes tipos de ransomware. A pesar de esto, el último acto público imprudente de Conti puede dejar un legado. Si bien es posible que los ciberdelincuentes no opten por atacar de forma rutinaria a los gobiernos nacionales, se ha sentado un nuevo precedente. “Conti puso su sello en una nueva era en ransomware”, dice Shykevich de Check Point. “Probaron y demostraron que un grupo de ciberdelincuencia puede extorsionar a un país”.
Via
Un par de ataques de ransomware paralizaron partes del país y reescribieron las reglas del delito cibernético.
En los últimos dos meses, Costa Rica ha estado sitiada. Dos grandes ataques de ransomware han paralizado muchos de los servicios esenciales del país, sumiendo al gobierno en el caos mientras se esfuerza por responder. Los funcionarios dicen que el comercio internacional se detuvo cuando el ransomware se apoderó y se reprogramaron más de 30,000 citas médicas, mientras que los pagos de impuestos también se interrumpieron. Se han perdido millones debido a los ataques, y el personal de las organizaciones afectadas ha recurrido a lápiz y papel para hacer las cosas.
El gobierno de Costa Rica, que cambió a la mitad de los ataques después de las elecciones a principios de este año, declaró una “emergencia nacional” en respuesta al ransomware, lo que marca la primera vez que un país lo hace en respuesta a un ataque cibernético. Veintisiete organismos gubernamentales fueron objeto de los primeros ataques, que se extendieron desde mediados de abril hasta principios de mayo, según el nuevo presidente Rodrigo Chaves. El segundo ataque, a fines de mayo, ha puesto en espiral el sistema de salud de Costa Rica. Chaves ha declarado la “guerra” a los responsables.
En el corazón de la ola de piratería se encuentra Conti, la notoria banda de ransomware vinculada a Rusia. Conti se atribuyó la responsabilidad del primer ataque contra el gobierno de Costa Rica y se cree que tiene algunos vínculos con la operación de ransomware como servicio HIVE, que fue responsable del segundo ataque que afectó al sistema de atención médica. El año pasado, Conti extorsionó a sus víctimas por más de $180 millones y tiene un historial de atacar a organizaciones de atención médica. Sin embargo, en febrero se publicaron en línea miles de mensajes y archivos internos del grupo después de que respaldara la guerra de Rusia contra Ucrania.
“Emergencia Nacional”
El primer ataque de ransomware contra el gobierno de Costa Rica comenzó durante la semana del 10 de abril. A lo largo de la semana, Conti probó los sistemas del Ministerio de Hacienda, explica Jorge Mora, exdirector del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICIT) que ayudaron a liderar la respuesta a los ataques. Para la madrugada del 18 de abril, los archivos dentro del Ministerio de Finanzas habían sido encriptados y dos sistemas clave habían sido paralizados: el servicio de impuestos digitales y el sistema de TI para el control de aduanas.
“Afectan todos los servicios de exportación/importación en el país de los productos”, dice Mora, quien dejó el gobierno el 7 de mayo antes del cambio de gobierno. Mario Robles, director general y fundador de la empresa costarricense de ciberseguridad White Jaguars, estima que se han visto afectados “varios terabytes” de datos y más de 800 servidores del Ministerio de Hacienda. Robles dice que su empresa ha estado involucrada en la respuesta a los ataques, pero dice que no puede nombrar con quién ha trabajado.
“El sector privado se vio muy afectado”, dice Mora. Los informes locales dicen que las empresas de importación y exportación se enfrentaron a la escasez de contenedores de envío y las pérdidas estimadas van desde $ 38 millones por día hasta $ 125 millones en 48 horas. “La interrupción paralizó las importaciones y exportaciones del país, lo que tuvo un gran impacto en el comercio”, dice Joey Milgram, gerente de país para Costa Rica en la empresa de ciberseguridad Soluciones Seguras. “Implementaron, después de 10 días, un formulario manual para importar, pero tomaba mucho papeleo y muchos días para procesarlo”, agrega Milgram.
Pero el ataque contra el Ministerio de Hacienda fue solo el comienzo. Una línea de tiempo compartida por Mora afirma que Conti intentó violar diferentes organizaciones gubernamentales casi todos los días entre el 18 de abril y el 2 de mayo. Las autoridades locales, como la Municipalidad de Buenos Aires, fueron atacadas, así como las organizaciones del gobierno central, incluido el Ministerio de Trabajo y Seguridad Social. En algunos casos, Conti tuvo éxito; en otros, fracasó. Mora dice que EE.UU., España y empresas privadas ayudaron a defenderse de los ataques de Conti, proporcionando software e indicadores de compromisos relacionados con el grupo. “Eso bloqueó mucho a Conti”, dice. (A principios de mayo, EE. UU. publicó una recompensa de 10 millones de dólares por información sobre el liderazgo de Conti).
El 8 de mayo, Chaves inició su mandato de cuatro años como presidente e inmediatamente declaró una “emergencia nacional” debido a los ataques de ransomware, llamando a los atacantes “ciberterroristas”. Nueve de los 27 cuerpos atacados estaban “muy afectados”, dijo Chaves el 16 de mayo. El MICIT, que supervisa la respuesta a los ataques, no respondió a las preguntas sobre el progreso de la recuperación, a pesar de que originalmente ofreció concertar una entrevista .“Todas las instituciones nacionales no tienen suficientes recursos”, dice Robles. Durante la recuperación, dice, ha visto organizaciones que funcionan con software heredado, lo que dificulta mucho la habilitación de los servicios que brindan. Algunos cuerpos, dice Robles, “ni siquiera tienen una persona trabajando en ciberseguridad”. Mora agrega que los ataques muestran que los países latinoamericanos necesitan mejorar su resiliencia en ciberseguridad, introducir leyes para hacer obligatorio el reporte de ciberataques y asignar más recursos para proteger las instituciones públicas. Pero justo cuando Costa Rica comenzaba a dominar los ataques de Conti, se produjo otro golpe de martillo. El 31 de mayo comenzó el segundo ataque. Los sistemas de la Caja Costarricense de Seguro Social (CCSS), que organiza la atención de la salud, fueron desconectados, sumiendo al país en un nuevo tipo de desorden. Esta vez se culpó al ransomware HIVE, que tiene algunos vínculos con Conti. El ataque tuvo un efecto inmediato en la vida de las personas. Los sistemas de atención médica se desconectaron y las impresoras arrojaron basura, como informó por primera vez el periodista de seguridad Brian Krebs. Desde entonces, los pacientes se han quejado de las demoras en recibir tratamiento y la CCSS ha advertido a los padres cuyos hijos estaban siendo operados que podrían tener problemas para localizar a sus hijos. El servicio de salud también ha comenzado a imprimir formularios en papel discontinuados. Para el 3 de junio, la CCSS había declarado una “emergencia institucional”, con informes locales que afirman que 759 de los 1500 servidores y 10400 computadoras se han visto afectados. Un vocero de la CCSS dice que los servicios hospitalarios y de emergencia ahora funcionan con normalidad y los esfuerzos de su personal han mantenido la atención. Sin embargo, aquellos que buscan atención médica han enfrentado interrupciones significativas: se han reprogramado 34,677 citas al 6 de junio. (La cifra es el 7 por ciento del total de citas; la CCSS dice que se han realizado 484,215 citas). Imágenes médicas, farmacias, laboratorios de pruebas, y los quirófanos se enfrentan a algunas interrupciones.
La muerte de Conti
Hay dudas sobre si los dos ataques de ransomware separados contra Costa Rica están vinculados. Sin embargo, aparecen cuando la cara del ransomware puede estar cambiando. En las últimas semanas, las pandillas de ransomware vinculadas a Rusia han cambiado sus tácticas para evitar las sanciones de EE . UU. y están peleando por su territorio más de lo habitual.
Conti anunció por primera vez su ataque al Ministerio de Hacienda en su blog, donde publica los nombres de sus víctimas y, si no pagan el rescate, los archivos que les ha robado. Una persona o grupo que se autodenominó unc1756 (la abreviatura “UNC” es utilizada por algunas empresas de seguridad para indicar atacantes “no clasificados”) usó el blog para reclamar la responsabilidad del ataque. El atacante exigió $10 millones como pago de rescate, y luego aumentó la cifra a $20 millones. Cuando no se realizó ningún pago, comenzaron a cargar/subir 672 GB de archivos en el sitio web de Conti.
Sin embargo, el comportamiento de Conti fue más errático e inquietante de lo habitual: el atacante pasó a la política. “Hago un llamado a todos los residentes de Costa Rica, acudan a su gobierno y organicen mítines”, decía una publicación en el blog de Conti . “Estamos decididos a derrocar al gobierno por medio de un ataque cibernético”, decía otra publicación dirigida a Costa Rica y “terroristas estadounidenses (Biden y su administración)”.“Creo que nunca vi a los ciberdelincuentes usar, al menos públicamente, tal retórica contra ningún gobierno”, dice Sergey Shykevich, gerente del grupo Threat Intelligence de la firma de seguridad Check Point, quien también señala que Conti atacó al Ministerio de Finanzas y la agencia de inteligencia de Perú por la misma razón momento en que atacó a Costa Rica. Shykevich dice que el comportamiento de Conti fue criticado en foros de hacking en idioma ruso, ya que meterse en política atraería más atención a los grupos de ciberdelincuencia. Algunos creen que el ataque de Conti contra Costa Rica pudo haber sido diseñado como una distracción. El 19 de mayo, la empresa de ciberseguridad con sede en EE. UU. AdvIntel declaró muertas las operaciones de Conti y dijo que el grupo había comenzado a desmantelar su marca, pero no su estructura organizativa general, a principios de mayo. Citando la visibilidad dentro de la pandilla, AdvIntel dijo que el panel de administración del sitio web de noticias de Conti ha sido cerrado. “El sitio del servicio de negociaciones también estaba inactivo, mientras que el resto de la infraestructura, desde las salas de chat hasta los mensajeros, y desde los servidores hasta los hosts proxy, estaba pasando por un reinicio masivo”, dijo AdvIntel en una sesión informativa. Desde que Conti expresó su apoyo a la guerra de Vladimir Putin en Ucrania y amenazó con piratear a cualquiera que atacara a Rusia, el grupo ha tenido problemas para ganar dinero. “Ahora es considerablemente más difícil para ellos obtener pagos de las víctimas estadounidenses”, dice Callow. “Varias firmas de negociación ya no realizarán transacciones con ellos por temor a infringir las sanciones de la OFAC , y algunas empresas no necesariamente querrán tratar con ellos porque no quieren que se los vea como posibles patrocinadores del terrorismo”. ADVIntel va más allá y dice que Conti no pudo “apoyar y obtener la extorsión lo suficiente”, lo que llevó al grupo a arremeter.
Varias semanas después, el CEO de AdvIntel, Vitali Kremez, dice que los servicios de Conti aún están fuera de línea. El ataque de Costa Rica, al menos a los ojos de AdVIntel, tenía como objetivo dar cobertura a Conti mientras continuaba renombrándose y comenzando a usar diferentes tipos de ransomware. A pesar de esto, el último acto público imprudente de Conti puede dejar un legado. Si bien es posible que los ciberdelincuentes no opten por atacar de forma rutinaria a los gobiernos nacionales, se ha sentado un nuevo precedente. “Conti puso su sello en una nueva era en ransomware”, dice Shykevich de Check Point. “Probaron y demostraron que un grupo de ciberdelincuencia puede extorsionar a un país”.
Via
Compartir esto: