Un nuevo ataque de ransomware afectó sistemas informáticos en Costa Rica
Todos los sistemas informáticos en la red del servicio de salud pública de Costa Rica (conocido como Caja Costarricense de Seguro Social o CCCS) no están funcionando. La causa de esta interrupción es un ataque de ransomware ocurrido el 31 de mayo por la mañana; el ataque fue perpetrado por la banda Hive.
Hive, una banda de ransomware como servicio (RaaS) activa desde al menos junio de 2021. La banda ha estado detrás de los ataques a más de 30 organizaciones, contando sólo a las víctimas que se negaron a pagar el rescate y cuyos datos se filtraron en línea.
Algunos medios han confirmado que el ransomware Hive está detrás del ataque del martes después de observar una de las notas de rescate.
La CCCS reconoció públicamente el ataque en un comunicado emitido en Twitter. La agencia afirmó que los atacantes se abrieron paso en su red “en la madrugada del martes”.
Si bien una investigación aún está en curso, la agencia gubernamental costarricense dice que la información de salud y fiscal de los ciudadanos almacenada en las bases de datos EDUS (Salud Digital Unificada) y SICERE (Sistema Centralizado de Recaudación de Impuestos) no se vio comprometida.
Los empleados informaron que se les dijo que apagaran sus computadoras y las desconectaran de las redes. La indicación llegó después de que todas las impresoras en la red de la agencia gubernamental comenzaran a imprimir cuando comenzó el ataque.
Algunos también compartieron pruebas de video que muestran pilas de docenas de páginas impresas llenas de texto incomprensible basado en ASCII.
CCCS ahora está trabajando para restaurar los sistemas afectados y los servicios críticos. Sin embargo, hasta el momento, es imposible determinar cuánto tiempo llevará hasta que los sistemas estén restaurados.
Incidente precedido de una racha de ataques de Conti
El incidente se produce después de que Costa Rica declarara una emergencia nacional. La declaratoria ocurrió después de los ataques del ransomware Conti que afectaron a múltiples organismos gubernamentales, incluida la Caja Costarricense del Seguro Social (CCSS).
La lista de entidades gubernamentales afectadas por los afiliados a Conti también incluye al Ministerio de Hacienda del país, su Ministerio del Trabajo y Seguridad Social (MTSS), el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones, y el Fondo de Desarrollo Social y Asignaciones Familiares (FODESAF).
“Se declara emergencia nacional el ataque que está sufriendo Costa Rica por parte de ciberdelincuentes. Y, firmamos este decreto, precisamente, para declarar estado de emergencia nacional en todo el sector público del Estado costarricense y permitir que nuestra sociedad responda a estos ataques como actos delictivos”.
Presidente de Costa Rica al firmar el Decreto Ejecutivo N° 42542 el pasado 8 de mayo.
La banda Conti exigió un rescate de $10 millones del Ministerio de Hacienda de Costa Rica que el gobierno se negó a pagar.
El gobierno de Estados Unidos está ofreciendo recompensas de hasta $15 millones a cualquiera que pueda proporcionar información que pueda conducir a la identificación y arresto de los líderes y operadores del ransomware Conti.
El enlace Conti – Hive
Si bien Conti ahora está cerrando lentamente sus operaciones, se ha asociado con numerosas bandas de ransomware conocidas. Por ejemplo, Hive y HelloKitty, AvosLocker, BlackCat, BlackByte y otras.
Sus miembros ahora se han dividido en grupos semiautónomos y autónomos más pequeños que se han infiltrado en los otros grupos RaaS.
También crearon grupos independientes enfocados en la exfiltración de datos y no en el cifrado de datos (por ejemplo, Karakurt , BlackByte y el colectivo Bazarcall).
Desde que los miembros de Conti se unieron a las filas de Hive, los grupos han comenzado a filtrar los datos de las víctimas en ambos blogs de filtración. No obstante, niegan que haya algún vínculo entre las dos bandas.
AdvIntel identificó y confirmó con un alto nivel de certeza que Conti ha estado trabajando con HIVE durante más de medio año, al menos desde noviembre de 2021. Hemos identificado evidencia suficiente de HIVE utilizando activamente tanto los accesos de ataque iniciales proporcionados por Conti como los servicios de los pentesters de Conti.
Yelisey Boguslavskiy de Advanced Intel .
Las mismas personas trabajaban tanto para Conti como para HIVE, como se ve en las mismas víctimas que aparecen en los blogs de filtraciones de HIVE y Conti simultáneamente. HIVE actualmente sirve como una de las opciones de escape de la negociación para Conti.
Los miembros de Conti continúan las negociaciones con las víctimas que vulneraron anteriormente bajo la marca HIVE. Esto les da la oportunidad de recibir un pago, ya que, a diferencia de Conti, HIVE no está asociado con el apoyo directo de la invasión rusa a Ucrania. Esto a pesar de que el rescate pagado a HIVE probablemente sea recibido por las mismas personas dentro de Conti que declararon la alineación colectiva del grupo con el gobierno ruso.