Contis Angriff auf Costa Rica löst eine neue Ransomware-Ära aus
Es lebe der neue Angriff
Contis Angriff auf Costa Rica löst eine neue Ransomware-Ära aus Laptop auf dem Schreibtisch in der Nacht Für die letzten Zwei Monate lang wurde Costa Rica belagert. Zwei große
Ransomware-Angriffe haben viele der wesentlichen Dienste des Landes
lahmgelegt und die Regierung ins Chaos gestürzt, während sie sich
bemüht, darauf zu reagieren. Beamte sagen, dass der internationale
Handel zum Stillstand kam, als die Ransomware Fuß fasste und mehr als
30.000 Arzttermine verschoben wurden, während die Steuerzahlungen
ebenfalls gestört wurden. Millionen sind durch die Angriffe verloren
gegangen, und die Mitarbeiter der betroffenen Organisationen haben sich
an Stift und Papier gewandt, um die Dinge zu erledigen.
Die Regierung von Costa Rica, die sich mitten in den Angriffen nach den
Wahlen Anfang des Jahres geändert hat, hat als Reaktion auf die
Ransomware einen "nationalen Notstand" ausgerufen - das erste Mal, dass
ein Land dies als Reaktion auf einen Cyberangriff getan hat.
Siebenundzwanzig Regierungsbehörden waren Ziel der ersten Angriffe, die
von Mitte April bis Anfang Mai dauerten, so der neue Präsident Rodrigo
Chaves. Der zweite Anschlag Ende Mai hat das Gesundheitssystem Costa
Ricas in eine Spirale versetzt. Chaves hat den Verantwortlichen den
"Krieg" erklärt.
Im Mittelpunkt des Hacking-Amoklaufs steht Conti, die berüchtigte, mit
Russland verbundene Ransomware-Bande. Conti übernahm die Verantwortung
für den ersten Angriff auf die Regierung Costa Ricas und es wird
angenommen, dass er einige Verbindungen zur
Ransomware-as-a-Service-Operation HIVE hat, die für den zweiten Angriff
verantwortlich war, der das Gesundheitssystem beeinträchtigte. Im
vergangenen Jahr hat Conti mehr als 180 Millionen Dollar von seinen
Opfern erpresst und hat in der Vergangenheit Gesundheitsorganisationen
ins Visier genommen. Im Februar wurden jedoch Tausende der internen
Nachrichten und Dateien der Gruppe online veröffentlicht, nachdem sie
Russlands Krieg gegen die Ukraine unterstützt hatte.
Selbst unter Contis langem Rap-Blatt von mehr als 1.000
Ransomware-Angriffen stechen diejenigen gegen Costa Rica hervor. Sie
markieren eines der ersten Male, dass eine Ransomware-Gruppe explizit
die Regierung eines Landes ins Visier genommen hat, und während des
Prozesses forderte Conti untypisch den Sturz der costa-ricanischen
Regierung. "Dies ist möglicherweise der bisher bedeutendste
Ransomware-Vorfall", sagt Brett Callow, Bedrohungsanalyst bei Emsisoft.
"Ich kann mich nicht an eine andere Gelegenheit erinnern, bei der eine
ganze Bundesregierung so erpresst wurde - es ist eine Premiere; Es ist
ziemlich beispiellos."
Darüber hinaus schlagen Forscher vor, dass Contis dreiste Aktionen nur
gefühlloses Showboating sein könnten, das erlassen wurde, um die
Aufmerksamkeit auf die Gruppe zu lenken, während sie ihren giftigen
Markennamen abwickelt und ihre Mitglieder zu anderen
Ransomware-Bemühungen übergehen.
"Nationaler Notstand" Der erste Ransomware-Angriff auf die Regierung Costa Ricas begann in der
Woche vom 10. April. Im Laufe der Woche untersuchte Conti die Systeme
des Finanzministeriums, bekannt als Ministerio de Hacienda, erklärt
Jorge Mora, ein ehemaliger Direktor des Ministeriums für Wissenschaft,
Innovation, Technologie und Telekommunikation (MICIT), der die Reaktion
auf die Angriffe leitete. In den frühen Morgenstunden des 18. April
waren die Akten im Finanzministerium verschlüsselt und zwei
Schlüsselsysteme lahmgelegt worden: der digitale Steuerdienst und das
IT-System für die Zollkontrolle.
"Sie betreffen alle Export- / Importdienstleistungen im Land der
Produkte", sagt Mora, der die Regierung am 7. Mai vor dem
Regierungswechsel verlassen hat. Mario Robles, CEO und Gründer des
costa-ricanischen Cybersicherheitsunternehmens White Jaguars, schätzt,
dass "mehrere Terabyte" an Daten und mehr als 800 Server im
Finanzministerium betroffen sind. Robles sagt, dass sein Unternehmen an
der Reaktion auf die Angriffe beteiligt war, sagt aber, dass er nicht
nennen kann, mit wem es zusammengearbeitet hat. (Das Finanzministerium
reagierte nicht auf die Bitte von WIRED um Stellungnahme.)
"Der Privatsektor war sehr betroffen", sagt Mora. Lokale Berichte
besagen, dass Import- und Exportunternehmen mit Containerengpässen
konfrontiert waren und die geschätzten Verluste von 38 Millionen
US-Dollar pro Tag bis zu 125 Millionen US-Dollar über 48 Stunden
reichen. "Die Störung lähmte die Importe und Exporte des Landes und
hatte einen großen Einfluss auf den Handel", sagt Joey Milgram, Country
Manager für Costa Rica beim Cybersicherheitsunternehmen Soluciones
Seguras. "Sie implementierten nach 10 Tagen ein manuelles Formular zum
Importieren, aber es dauerte viel Papierkram und viele Tage, um es zu
verarbeiten", fügt Milgram hinzu.