Jorge Mora, le chef de l’administration numérique du Costa Rica, a reçu un message d’un de ses responsables en avril : « Nous n’avons pas pu le contenir et ils ont chiffré les serveurs. Nous avons fermé tout le ministère.
Il a été tenu au courant d’une cyberattaque déchirante par un groupe de rançongiciels russe notoire appelé Conti, qui a commencé au ministère du Trésor du pays d’Amérique centrale et a finalement impliqué 27 ministères différents dans une série d’attaques entrelacées qui ont duré des semaines.
L’attaque a été « impressionnante par son ampleur », selon un responsable occidental. En règle générale, les pirates parviennent à accéder à des systèmes individuels, mais le cas du Costa Rica illustre le risque qu’une cybersécurité faible fait peser sur l’ensemble de l’infrastructure informatique d’un pays. Au Costa Rica, Conti avait passé des semaines, voire des mois, à fouiller dans ses systèmes de gouvernement et à sauter de ministère en ministère.
Conti a proposé de restituer les données : pour un coût pouvant atteindre 20 millions de dollars. Mais le gouvernement costaricien a refusé de payer la rançon. Au lieu de cela, le président nouvellement installé Rodrigo Chaves a déclaré une urgence nationale, lancé une chasse aux « traîtres » présumés et s’est appuyé sur des alliés férus de technologie comme les États-Unis et l’Espagne pour lui venir en aide.
« Nous sommes en guerre et ce n’est pas exagéré », a déclaré Chaves dans les jours qui ont suivi son investiture à la mi-mai, accusant l’administration précédente de cacher la véritable ampleur de la perturbation, qu’il a assimilée au terrorisme.
L’impasse a paralysé des parties de l’infrastructure numérique du Costa Rica pendant des mois, paralysé la collecte des impôts en ligne, perturbé les services de santé publique et perturbé le salaire de certains travailleurs du secteur public.
Pendant ce temps, les bourreaux de l’ombre du Costa Rica étaient eux-mêmes épuisés, victimes des rivalités géopolitiques dans le monde du piratage informatique déclenchées par la guerre en Ukraine. Après que le groupe ait déclaré son soutien à l’invasion russe le 24 février, il a été trahi par l’un de ses initiés, prétendument un pirate informatique ukrainien, qui, en représailles, a divulgué ses boîtes à outils, ses chats internes et d’autres secrets en ligne.
Alors que le Costa Rica continue de faire face aux conséquences de la cyberattaque, une grande partie de Conti a fondu après la fuite, selon Toby Lewis, responsable de l’analyse des menaces chez Darktrace, une entreprise de cybersécurité.
« En entrant en 2022, nous étions prêts pour une autre année pour un groupe comme Conti à son apogée et gagnant beaucoup d’argent », a déclaré Lewis. « Lorsque la Russie a envahi l’Ukraine, tout s’est terminé. Soutenir la Russie a été la pire décision commerciale qu’ils auraient pu prendre. »
L’attaque la plus efficace de Conti s’est avérée être la dernière. Fin juin, le site Web public de Conti, sur lequel elle s’était moquée du Costa Rica et d’autres victimes, a été fermé, tout comme sa page de négociation sur le Web sombre, ont déclaré des chercheurs en sécurité.
Au fur et à mesure que les attaques se déroulaient, Mora a déclaré que son équipe avait dormi à peine quatre heures par nuit pendant près d’un mois pour ralentir la progression des pirates dans d’autres ministères. L’Espagne a envoyé son propre logiciel de protection contre les rançongiciels, MicroClaudia, développé par son Centre national de cryptologie.
Les États-Unis ont envoyé des équipes pour aider avec les logiciels et l’expertise de Microsoft, IBM et Cisco, et le département d’État américain a versé une prime pouvant atteindre 15 millions de dollars pour traduire Conti ou ses partisans en justice.
Mora a rejeté les critiques de Chaves, affirmant que sans son rythme de travail et sa coopération après l’attaque « nous aurions eu 50 cas comme le Trésor ».
Mais les efforts du Costa Rica pour reprendre le contrôle de ses systèmes informatiques ont coïncidé avec la disparition de Conti, compliquant davantage ses efforts. Un responsable occidental informé de l’enquête a déclaré que même si Chaves avait accepté de payer la rançon, qui variait de 20 à 1 million de dollars, « il n’était pas clair qui était à l’autre bout de la ligne ». En juin, au sens figuré, personne ne répondait au téléphone.
« Conti au Costa Rica était un ultime effort désespéré pour obtenir une sorte de titre, certains bourdonnent autour de leurs actions », a déclaré Shmuel Gihon, chercheur en sécurité chez Cyberint, basé en Israël.
Autrefois estimé à environ 400 pirates plus un nombre inconnu d’affiliés qui louaient leur boîte à outils – ce qui avait rapporté à la filiale de piratage russe des centaines de millions de dollars en crypto-monnaie d’au moins 600 cibles en 2021 – Conti avait rapidement diminué à quelques dizaines de semaines après Attaque du Costa Rica.
Mais il y a des signes qu’il se regroupe sous diverses formes. Cela inclut un groupe appelé BlackBasta, qui a touché 50 organisations quelques mois après sa formation. Les chercheurs en sécurité affirment que la rapidité de ses attaques suggère que les déserteurs de Conti ont emporté avec eux leur connaissance de l’infrastructure informatique de leur victime à BlackBasta.
Pendant ce temps, le Costa Rica continue de lutter contre les conséquences du piratage d’avril. Comme pour toutes les attaques de rançongiciels réussies, il n’y a aucun moyen de déchiffrer ses données sans la clé d’un attaquant – la plupart des systèmes doivent être reconstruits à partir de zéro et les sauvegardes examinées pour s’assurer qu’elles ne contiennent pas le logiciel malveillant d’origine. Ce processus peut prendre des mois, voire un an ou deux.
Jusqu’à récemment, les systèmes douaniers du pays devaient recourir au papier et au courrier électronique, ce qui ralentissait l’ensemble du processus, a déclaré Monica Segnini, présidente de Grupo Desacarga, une société qui fournit des services d’importation et d’exportation.
« Cela signifie que vous payez plus pour les conteneurs qui doivent rester debout pendant des jours sur des ponts qui n’ont pas été utilisés depuis des années », a-t-elle déclaré, ajoutant que la société payait volontairement ses impôts sur les sociétés mais qu’il n’y avait aucun contrôle. « Nous évoluons dans une zone grise.
Un haut responsable du gouvernement a déclaré que de nombreux systèmes du département du Trésor avaient maintenant été restaurés, y compris les douanes et les salaires.
Pour les Costariciens comme Alejandra, 65 ans, qui a un handicap mental, le traitement médical est retardé, a déclaré son mari dans une interview. Les médecins ne peuvent pas accéder à leur IRM précédente et doivent maintenant attendre pour y accéder, a-t-il déclaré.
Zulma Monge, professeur de sciences et coordinatrice académique dans un collège technique d’un quartier à faible revenu du nord-est de la ville, est payée 400 000 colons de moins que ce qui lui est dû parce que le système ne peut pas gérer les heures supplémentaires.
Avec ses économies, elle finance la scolarité de ses deux enfants et ses propres frais pour un second diplôme. « Cela ne s’était jamais produit auparavant », a-t-elle dit, « dans le [ministry] Ils ne nous donnent aucune réponse quant à la date à laquelle l’argent dû sera payé.
Le processus de prévention de nouvelles attaques n’a pas non plus été facile, a admis le ministre des Sciences, de l’Innovation, de la Technologie et des Télécommunications, Carlos Alvarado Briceño.
Un autre groupe de hackers appelé Hive a attaqué les services de sécurité sociale du pays – le logiciel de défense du gouvernement espagnol n’avait pratiquement pas été utilisé, avec seulement 13 unités installées sur 20 000.
« De toute évidence, le président était inquiet, et il était également très contrarié. . . Nous avions déjà au moins quelques outils pour le contenir et cela ne s’est pas produit », a déclaré Alvarado Briceño. « Notre pays n’a pas pris cette question aussi au sérieux qu’il l’aurait dû dans le passé. Quelle est la leçon apprise ? Ne lésinez pas sur la cybersécurité nécessaire dans toutes les institutions.
Le message Comment le groupe de rançongiciels Conti a paralysé le Costa Rica – puis s’est séparé est apparu en premier sur Germanic News.