Технологии

Связываемых с Россией хакеров Conti обвиняют в попытке свергнуть правительство Коста-Рики. Режим ЧП действует уже месяц

Правительство отказалось платить изначальный выкуп в 10 миллионов долларов и сейчас теряет около 30 миллионов ежедневно.

С 18 апреля 2022 года хакеры терроризируют Коста-Рику: злоумышленники организовывают практически беспрерывные кибератаки на министерства, фонды, институты и электроэнергетические компании. Хакеров прямо обвиняют президент Коста-Рики и Госдеп США.

Всё началось с желания Conti получить выкуп в размере 10 миллионов долларов за данные восьми коста-риканских учреждений. Получив отказ, хакеры стали взламывать местные организации одну за другой, постепенно увеличивая сумму выкупа — а теперь они вовсе хотят свергнуть местное правительство.

На помощь Коста-Рике пришли США, к Conti же присоединились другие хакерские группировки. Как развивается ситуация сейчас, сколько денег страна уже потеряла в этом противостоянии, и чем оборачивается введённый из-за кибератаки режим чрезвычайного положения — в материале TJ.

* * *

Цифровые службы Министерства финансов Коста-Рики не работают с 18 апреля. Атаки, ответственность за которые взяла на себя Conti, затронули таможенную и налоговую системы, а также системы здравоохранения, Министерство труда, Национальный метеорологический институт, Министерство науки, инноваций, технологий и телекоммуникаций.

Группировка первоначально потребовала от правительства Коста-Рики выкуп в размере 10 миллионов долларов в обмен на то, что не будет разглашать информацию, украденную у Министерства финансов. Правительство отказалось платить, в результате чего Conti разместила извлечённые документы и данные на своем сайте.

Украденные данные на сайте утечек Conti

Позднее хакеры Conti увеличили размер выкупа до 20 миллионов долларов, а затем снизили до 15 миллионов. Эти суммы правительство также отказалось платить, но крах инфраструктуры в последующие дни обошёлся ему намного дороже.

Только за первые два дня атаки Торговая палата Коста-Рики оценила убытки в более чем 125 миллионов долларов. По словам конгрессмена Глории Навас, с тех пор экономика теряет около 30 миллионов долларов в день. Министр финансов Ногуи Акоста предупредил, что правительство не уверено, сможет ли оно сбалансировать бухгалтерские книги в мае, и не знает, правильно ли уплачиваются налоги.

В ответ на атаку президент Коста-Рики Родриго Чавес объявил чрезвычайное положение. Чавес подписал указ 8 мая — в тот же день, когда фактически стал 49-м действующим главой государства. То есть кибератака совпало со сменой коста-риканской власти.

Conti открыто настраивают население против правительства Коста-Рики

Новому президенту пришлось сразу столкнуться с нетипичными трудностями. Из-за атак Conti пострадала система начисления заработной платы бюджетникам — несколько десятков тысяч госслужащих больше месяца не могут получить расчёт.

Недовольство среди населения постепенно растёт: на это и был расчёт Conti. Хакеры призвали население восстать против правительства. Пока что серьёзных волнений нет, но учителя уже мобилизовались против правительства.

По словам Хейди Валенсии, 36-летней учительницы испанского языка, работающая в столице страны Сан-Хосе, сформированный педагогами после взлома Комитет по немедленным платежам «работает над повесткой дня для борьбы с этой проблемой». Учителя ждут, когда им заплатят в полном объёме, и в противном случае планируют протестовать перед офисом президента.

Президент Чавес заявил местным СМИ, что, по его мнению, коллаборационисты в Коста-Рике помогают хакерам шантажировать правительство. Правда, президент не предоставил никакой информации в поддержку этого утверждения.

Мы находимся в состоянии войны, и это не преувеличение. Война ведётся против международной террористической группировки. Есть очень чёткие признаки того, что люди внутри страны сотрудничают с Conti.

Почему Conti решили атаковать Коста-Рику — и при чём тут конфликт в Украине

Разработка основного программного обеспечения Conti осуществляется за счёт средств правительства России. ПО, использовавшееся в последние месяцы в Коста-Рике, представляет собой варианты многих пакетов атак, полученных и изученных от атак в Украине и США.

В феврале 2022 года, после ввода войск России в Украину, хакеры Conti пригрозили атаковать врагов Кремля. Группировка заявила о полной поддержке российского правительства, написав: «Если кто-либо решит организовать кибератаку или какие-либо военные действия против России, группа собирается использовать все возможные ресурсы, чтобы нанести ответный удар по критически важным инфраструктурам врага».

Вскоре после публикации участники Conti поправили сообщение, смягчив тон: хакеры сказали, что не вступают в союз ни с одним правительством. Впрочем, до сих пор их связывают именно с Россией. Этим Хименес и объясняет то, что целью атак Conti стала именно Коста-Рика — открытый союзник Соединенных Штатов.

На помощь Коста-Рике пришли США, которые сами успели пострадать от кибератак группировки

После атаки в Коста-Рике США предложили вознаграждение в размере до 10 миллионов долларов за информацию, которая поможет установить местонахождение ключевых лидеров Conti. Ещё до 5 миллионов долларов обещают за информацию, которая приведёт к их аресту и/или осуждению.

Предлагая эту награду, Соединенные Штаты демонстрируют свою приверженность защите потенциальных жертв программ-вымогателей по всему миру. Мы рассчитываем на сотрудничество со странами, желающими восстановить справедливость.

ФБР к январю 2022 года выявило более тысячи жертв атак, связанных с Conti. Общие выплаты пострадавших превысили 150 миллионов долларов, что сделало вариант программы-вымогателя группировки самым дорогостоящим из когда-либо зарегистрированных. Вредоносное ПО Conti входит в тройку основных вариантов атак на критически важную инфраструктуру США, затрагивающую производственный, финансовый, технологический, пищевой и строительный секторы.

К атакам Conti на Коста-Рику подключилась другая хакерская группировка Hive

31 мая национальную службу здравоохранения Коста-Рики взломала группировка Hive. Эксперты по программам-вымогателям считают, что есть веские основания полагать, что за обеими атаками стоят одни и те же киберпреступники, и что Hive помогать Conti.

Уязвимые системы Коста-риканского фонда социального обеспечения (CCSS) отключились утром 31 мая, но масштабы нарушения до сих пор неясны. Глава CCSS обратился к местным СМИ , подтвердив, что программа-вымогатель Hive была развернута как минимум на 30 из 1500 государственных серверов, и что какие-либо оценки времени восстановления остаются неизвестными.

Тем временем, возле центров общественного здравоохранения в Коста-Рике стали появляться написанные от руки таблички, предупреждающие граждан о том, что учреждение не работает.

«Уважаемые пользователи! Мы хотели бы сообщить вам, что из-за проблемы, связанной с информационными системами учреждения, мы не можем выписывать какие-либо рецепты на лекарства сегодня до дальнейшего уведомления. Спасибо за понимание».

Хакеры из группировок, связанных с Россией, начали действовать по всей Центральной и Латинской Америке

Примерно в то же время, когда в апреле хакеры взломали Коста-Рику, Conti объявила, что взломала Национальное управление разведки Перу , пригрозив опубликовать конфиденциальные украденные данные, если правительство не заплатит выкуп. За последние 90 дней злоумышленники взломали и пытались вымогать деньги у 15 государственных учреждений в Бразилии, девяти в Аргентине, шести в Колумбии, четырёх в Эквадоре и трёх в Чили.

В недавнем отчёте Межамериканского банка развития говорится, что многим латиноамериканским странам не хватает технических знаний или законов о киберпреступности для борьбы с киберугрозами.

Только семь из 32 исследованных стран имеют план защиты критической инфраструктуры, а 20 создали группы реагирования на инциденты кибербезопасности, часто называемые CERT или CSIRT. Это ограничивает их способность идентифицировать атаки и реагировать на них.

из отчёта Межамериканского банка развития

#кибератаки #conti