Le président costaricien Rodrigo Chaves a déclaré une urgence nationale à la suite de cyberattaques du groupe de rançongiciels Conti contre plusieurs organismes gouvernementaux.
EZpublish-france.fr a également observé que Conti avait publié la majeure partie du vidage de 672 Go qui semble contenir des données appartenant aux agences gouvernementales du Costa Rica.
La déclaration a été promulguée par Chaves le dimanche 8 mai, le jour même où l’économiste et ancien ministre des Finances est effectivement devenu le 49e et actuel président du pays.
Le Costa Rica sous urgence nationale après des cyberattaques
Le dimanche 8 mai, le président costaricien nouvellement élu, Chaves, a déclaré une urgence nationale, citant les attaques en cours du rançongiciel Conti comme raison.
Le ransomware Conti avait initialement revendiqué une attaque de ransomware contre des entités gouvernementales du Costa Rica le mois dernier.
L’agence de santé publique du pays, la Caisse de sécurité sociale du Costa Rica (CCSS), avait précédemment déclaré qu ‘ »un examen de la sécurité du périmètre est en cours sur le Conti Ransomware, pour vérifier et prévenir d’éventuelles attaques au niveau du CCSS ».
Dans ce momento se realiza revisión en la seguridad périmetral sobre el Ransomware Conti, para verificar y prevenir posibles ataques a nivel de la CCSS.
— CCSSdeCostaRica (@CCSSdeCostaRica) 19 avril 2022
EZpublish-france.fr a observé qu’en date d’hier, le site de fuite de données de Conti avait été mis à jour pour indiquer que le groupe avait divulgué 97 % du vidage de données de 672 Go contenant prétendument des informations volées à des agences gouvernementales :
L’organisme public qui a été le premier à subir les dommages de la cyberattaque de Conti est le ministère des Finances, qui n’a pas encore pleinement évalué l’étendue de l’incident de sécurité ni dans quelle mesure les systèmes d’information, de paiement et de douane des contribuables ont été touchés.
Conti a exigé plus tôt un 10 millions de dollars de rançon du ministère que le gouvernement a refusé de payer.
Le site de fuite de Conti répertorie actuellement le gouvernement suivant prétendument affecté par l’attaque, comme le montre EZpublish-france.fr :
- Ministère des Finances du Costa Rica, Ministerio de Hacienda
- Ministère du travail et de la sécurité sociale, MTSS
- La Caisse de Développement Social et d’Allocations Familiales, FODESAF
- Le siège interuniversitaire d’Alajuela, SIUA
EZpublish-france.fr n’a pas encore analysé les données divulguées, mais une analyse préliminaire d’un très petit sous-ensemble des données divulguées montre le code source et les bases de données SQL qui semblent provenir de sites Web gouvernementaux.
Plutôt que d’attribuer cette cyberattaque à des pirates informatiques d’États-nations, l’acteur de la menace Conti « UNC1756 », ainsi que son affilié, en ont revendiqué la responsabilité. L’acteur menaçant a menacé de mener de futures attaques d’une « forme plus grave ».
Amelia Rueda (une journaliste avec sa sortie du même nom) qui plus tôt signalé sur le développement déclare le décret d’exécution n ° 42542 du président établit une urgence :
« L’attaque que subit le Costa Rica de la part de cybercriminels, de cyberterroristes est déclarée urgence nationale et nous signons ce décret, précisément, pour déclarer l’état d’urgence nationale dans tout le secteur public de l’État costaricain et permettre à notre société de répondre à ces attaques comme des actes criminels », a déclaré le président, accompagné de la ministre de la Présidence, Natalia Díaz, et du ministre de la Science, de l’Innovation, de la Technologie et des Télécommunications (Micitt), Carlos Alvarado.
Depuis le 18 avril, les services numériques du Trésor sont indisponibles, ce qui affecte l’ensemble du « secteur productif » en raison des procédures gouvernementales, des signatures et des tampons ayant été perturbés, rapporte Amelia Rueda.
« Nous avons signé le décret pour que le pays puisse se défendre contre l’attaque criminelle que nous font les cybercriminels. C’est une attaque contre la patrie et nous avons signé le décret pour avoir une meilleure façon de nous défendre », a ajouté le président Chaves.
Parmi les autres agences qui ont été touchées par les attaques de Conti, citons:
- Conseil d’administration du service électrique de la province de Cartago (Jasec)
- Le ministère de la Science, de l’Innovation, de la Technologie et des Télécommunications
- Institut national de météorologie (IMN)
- Costarricense radiographique (Racsa)
- Caisse costaricienne de sécurité sociale (CCSS).
Comme l’a rapporté EZpublish-france.fr la semaine dernière, le gouvernement américain récompense jusqu’à 15 millions de dollars à quiconque fournit des informations pouvant conduire à l’identification et à l’arrestation des dirigeants et des opérateurs du rançongiciel Conti.
Le Département d’État américain s’est engagé à offrir jusqu’à 10 millions de dollars pour obtenir des informations sur l’identité et la localisation des acteurs de la menace, avec une prime supplémentaire de 5 millions de dollars pour avoir conduit à l’arrestation et/ou à la condamnation des individus responsables de ces attaques.
Le groupe de rançongiciels Conti en examen
Conti est une opération Ransomware-as-a-Service (RaaS) liée à la langue russe Assistant Araignée groupe de cybercriminalité (également connu pour d’autres logiciels malveillants notoires, notamment Ryuk, TrickBot et BazarLoader).
Les victimes du gang de la cybercriminalité comprennent le Health Service Executive (HSE) irlandais et son ministère de la Santé (DoH), demandant au premier de payer une rançon de 20 millions de dollars.
Le FBI a également averti en mai 2021 que les opérateurs de Conti avaient tenté de violer plus d’une douzaine d’organisations américaines de soins de santé et de premiers intervenants.
En août 2021, un affilié mécontent a divulgué le matériel de formation de Conti, y compris des informations sur l’un de ses opérateurs, un manuel sur le déploiement de divers outils malveillants et de nombreux documents d’aide prétendument fournis aux affiliés du groupe.
Selon des analystes de plusieurs sociétés de cybersécurité, Conti gère désormais diverses activités parallèles destinées à soutenir ses opérations de ransomware ou à payer l’accès initial au réseau en cas de besoin.
L’une de ces opérations parallèles est le groupe d’extorsion de données Karakurt récemment émergé, actif depuis au moins juin 2021 et récemment lié à Conti par des chercheurs d’Advanced Intelligence, Infinitum, Arctic Wolf, Northwave et Chainalysis, en tant que bras d’extorsion de données du gang cybercriminel.