Es war hart Start für den neu gewählten Präsidenten von Costa Rica, Rodrigo Chaves, der weniger als eine Woche nach seinem Amtsantritt sein Land „im Krieg“ mit der Ransomware-Bande Conti erklärte.
„Wir befinden uns im Krieg und das ist keine Übertreibung“, Chaves sagte lokalen Medien. „Der Krieg richtet sich gegen eine internationale Terroristengruppe, die offenbar Agenten in Costa Rica hat. Es gibt sehr deutliche Hinweise darauf, dass Menschen im Land mit Conti zusammenarbeiten.“
Contis Angriff auf die Regierung von Costa Rica begann im April. Das Finanzministerium des Landes war der erste Treffer der mit Russland verbundenen Hacking-Gruppe, und in einer Erklärung vom 16. Mai sagte Chaves, die Zahl der betroffenen Institutionen sei seitdem auf 27 angewachsen. Dies, so gab er zu, bedeutet, dass Beamte nicht bezahlt würden pünktlich und beeinflussen den Außenhandel des Landes.
In einer Nachricht, die in seinem Dark-Web-Leaks-Blog gepostet wurde, forderte Conti die Bürger von Costa Rica auf, ihre Regierung unter Druck zu setzen, das Lösegeld zu zahlen, das die Gruppe von ursprünglich 10 Millionen Dollar auf 20 Millionen Dollar verdoppelte. In einer separaten Erklärung warnte die Gruppe: „Wir sind entschlossen, die Regierung durch einen Cyberangriff zu stürzen, wir haben Ihnen bereits alle Stärke und Macht gezeigt.“
Conti gehört zu den produktivsten Hacking-Gruppen. Das FBI warnte Anfang dieses Jahres, dass die Bande zu den „drei Top-Varianten“ gehöre, die auf Unternehmen in den Vereinigten Staaten abzielten, und wurde für Ransomware-Angriffe verantwortlich gemacht, die auf Dutzende von Unternehmen abzielten, darunter Fat Face, Shutterfly und der irische Gesundheitsdienst.
Doch Conti hat in den vergangenen Monaten Fahrt aufgenommen: Im Januar und Februar veröffentlichte es 31 Opfer auf seinem Leaks-Blog. Im März und April wurden 133 Opfer gemeldet.
Warum Costa Rica?
Einige glauben, dass Contis Kampagne gegen Costa Rica motiviert ist, sich auf die Seite der Ukraine zu stellen. Experten sagen, dass alle Zeichen auf Geld stehen.
Brett Callow, Ransomware-Experte und Bedrohungsanalyse bei Emsisoft, sagte gegenüber Tech, dass „es keinen Grund zu der Annahme gibt, dass der Angriff auf Costa Rica anders als finanziell motiviert ist“. Und Maya Horowitz, Vizepräsidentin für Forschung bei Check Point Software, sagte auf der Grundlage ihrer Recherchen, dass die Erpressungsplanung von Conti „sehr fokussiert ist und auf der Zahlungsfähigkeit des Opfers basiert“.
Chaves hat seinen Vorgänger, den ehemaligen Präsidenten Carlos Alvarado, wiederholt für den Angriff verantwortlich gemacht, weil er nicht in Cybersicherheit investiert habe. Während unklar ist, welche Maßnahmen das Land zum Schutz vor Cyberangriffen ergriffen hat, sagte Jorge Mora, der Direktor für digitale Governance des Landes kürzlich gesagt dass vier Millionen Hacking-Versuche kürzlich dank institutionenübergreifend installierter „Schutzsysteme“ blockiert wurden.
Aber es ist wahrscheinlicher, dass Costa Rica nur Pech hatte und als Teil einer umfassenderen Operation ins Visier genommen wurde, als aufgrund einer wahrgenommenen Schwäche.
„Situationen wie diese spiegeln die asymmetrische Realität von Angriff und Verteidigung wider, in der Angreifer nur einmal Glück haben müssen“, sagte Jamie Boote, Softwaresicherheitsberater bei der Synopsys Software Integrity Group, gegenüber Tech. „Wenn eines von hundert Zielen ein Opfer wird, das Lösegeld in Millionenhöhe zahlen kann, dann lohnt es sich, Hunderte ins Visier zu nehmen.“
Callow fügt hinzu, dass es auch möglich ist, dass Conti Costa Rica ins Visier genommen hat, da die US-amerikanischen und europäischen Strafverfolgungsbehörden zunehmend erfolgreich ihre Operationen unterbrochen haben.
„Sie verdienen vielleicht nicht so viel Geld mit Angriffen in Ländern wie Costa Rica und Peru, aber sie werden nicht mit einem Kopfgeld in Höhe von mehreren Millionen Dollar oder mit US Cyber Command auf ihren Servern enden“, sagte Callow. „Weniger Gewinn, weniger Risiko. Oder zumindest glauben sie das.“
Ein Insider-Job?
In einer Nachricht, die am Wochenende in seinem Dark-Web-Blog gepostet wurde, behauptete Conti, es seien „Insider drin“. [the Costa Rican] Regierung“, was erklären könnte, warum das Land zum Ziel wurde oder warum der Angriff so verheerende Auswirkungen hatte. Diese Behauptung wurde Anfang dieser Woche von Präsident Chaves wiederholt, der sagte: „Es gibt sehr klare Anzeichen dafür, dass Menschen im Land mit Conti zusammenarbeiten.“
Sicherheitsexperten sagen Tech jedoch, dass die Behauptungen von Conti mit einer großen Portion Skepsis behandelt werden sollten.
„Dark-Web-Aufzeichnungen zeigen, dass ein Benutzer dieses Spitznamens erst seit März 2022 in einem beliebten Cybercrime-Forum aktiv ist – etwa einen Monat bevor die Angriffe auf Costa Rica begannen“, sagt Louise Ferrett, Bedrohungsanalystin von Searchlight Security, gegenüber Tech. „Obwohl es möglich ist, dass Conti Insider innerhalb der Regierung des Landes bestochen oder sozial manipuliert haben könnte, scheint es unwahrscheinlich, dass sie so schnell so viel Einfluss angehäuft hätten.“
„Es ist eine bekannte Taktik von Ransomware-Banden, übertriebene und abwegige Drohungen auszustoßen, um dem Opfer ein Gefühl der Dringlichkeit zu vermitteln und eine Lösegeldzahlung zu erhalten“, sagte Ferrett.
Was – oder wer – kommt als Nächstes?
„Der Erfolg dieser Angriffe sollte kleinere Regierungen auf der ganzen Welt betreffen“, sagt Allan Liska, ein Geheimdienstanalyst bei Recorded Future, gegenüber Tech. Er fügte hinzu:
Während viele Ransomware-Gruppen die nationalen Regierungen nicht berühren, fühlen sich andere, wie Conti, unantastbar und gehen jedem Opfer nach, das sie wollen, weil sie davon ausgehen, dass es keine Konsequenzen geben wird. Dies wird ein immer größeres Problem sein und die Regierungen müssen entschieden gegen Ransomware-Akteure vorgehen. Dies sind nichtnationale Gruppen, die sich an Angriffen im Wesentlichen nationalstaatlicher Art beteiligen, und es sollte angemessene Konsequenzen für diese Aktionen geben.
Diesen Standpunkt teilt Callow, der Tech mitteilt, dass Organisationen in Ländern außerhalb der USA voraussichtlich mehr Aufmerksamkeit von Ransomware-Banden erhalten werden, insbesondere in Ländern mit niedrigem Einkommen, in denen die Ausgaben für Cybersicherheit geringer sind. „Der öffentliche und der private Sektor der USA sind anfällig für Cyberangriffe und könnten in anderen Ländern noch anfälliger sein“, sagte er.
Contis Angriff auf Costa Rica dauert an. In ein Beitrag am Freitagsagte Conti, dass es die Verschlüsselungsschlüssel löschen wird, die zum Sperren der Regierungssysteme von Costa Rica am 23. Mai verwendet werden. Zum Zeitpunkt des Schreibens hat sich die Regierung von Costa Rica geweigert, den Lösegeldforderungen von Conti nachzugeben.
Aber wir sind bereits die Entstehung ähnlicher Angriffe sehen auf kleinere Nationalstaaten. Die grönländische Regierung bestätigte diese Woche, dass das Krankenhaussystem der Insel „schwer“ von einem Cyberangriff betroffen war, was dazu geführt hat, dass Krankenhausangestellte keinen Zugang zu Krankenakten von Patienten haben.