Ransomware Conti ataca a entidades públicas de Costa Rica

Ransomware Conti ataca a entidades públicas de Costa Rica
  • El grupo publicó en su sitio de la dark web que atacó al Ministerio de Hacienda de Costa Rica y solicitó el pago de 10 millones de dólares. En las últimas horas informó que también accedió a información de otras instituciones costarricenses.

(ITNOW)-.   Después de que el pasado 17 de abril el ransomware Conti publicara en su sitio de la dark web que accedieron a los sistemas del Ministerio de Hacienda de Costa Rica y robaran más de 1TB de datos internos, los atacantes intervinieron el sitio del Ministerio de Ciencia y Tecnología para dejar un mensaje y días después también afirmaron haber robado archivos EML de servidores de correos de otras dos entidades del país centroamericano.

Así lo publicó el blog de ESET, We Live Security.

Imagen. El 20 de abril la banda del ransomware Conti publicó en su sitio de la dark web que tuvo acceso a archivos del servidor de correo de otras dos entidades de Costa Rica.

Para ESET, a inicios de esta semana, los atacantes anunciaban que habían atacado al Ministerio de Hacienda los cibercriminales y afirmaron haber robado 1TB con información extraída del Portal de Administración Tributaria (ATV) y documentos internos. En esa publicación en su sitio, los cibercriminales revelaban también que habían solicitado el pago de 10 millones de dólares para recuperar los archivos del cifrado.

Ver más: Hackers vulneran sistemas del ministerio de Hacienda costarricense; rescate es por US$10 millones

Además de publicar una muestra para su descarga con una parte de la información robada, amenazaron con publicar la totalidad de los datos el 23 de abril. Con el transcurso de los días fueron actualizando la información que publicaron en su blog sobre el ataque y comenzaron a advertir que los ataques a los ministerios continuarían si no pagan.

Actualmente los cibercriminales dieron más detalles y dicen haber obtenido acceso a unos 800 servidores y extraído 900 GB de bases de datos, y 100 GB con documentos internos del Ministerio de Hacienda y bases de datos que contienen nombres completos y direcciones de correo.

Aparte de extorsionar a la víctima con los datos sustraídos, los hackers afirman haber implantado una gran cantidad de backdoors en varios ministerios públicos y compañías privadas.

En paralelo en su sitio de la dark web agregaron en las últimas horas para su descarga cuatro archivos comprimidos con información supuestamente extraída de los sistemas de la víctima.

Imagen 2. Información publicada el 20 de abril en la publicación de su blog sobre el ataque al Ministerio de Hacienda de Costa Rica y que incluye más de 10GB en cuatro archivos para su descarga.

Comunicaciones oficiales

Adicionalmente a esto, el Ministerio de Hacienda comunicaron en un extenso hilo de Twitter que en la madrugada del lunes 18 de abril comenzaron a tener inconvenientes en algunos de sus servidores y que desde entonces están investigando y analizando en profundidad lo que ocurrió.

Aunado a esto, como medida paliativa suspendieron temporalmente las plataformas ATV y TICA y quedarán habilitados hasta nuevo aviso.

Asimismo, en cuanto a los datos expuestos hasta ese entonces por los atacantes, la entidad manifestó que la información divulgada corresponde a la Dirección General de Aduanas y que la misma es utilizada como insumo y soporte, pero que no es de carácter histórico. Esto provocó presas de camiones de exportaciones en las sedes de Aduanas tras este ataque informático.

Luego de lo que fue el anuncio inicial de Conti y la posterior confirmación por parte del Ministerio del incidente, el grupo intervino el sitio del Ministerio de Ciencia y Tecnología para publicar un mensaje en inglés que traducido dice “Decimos hola desde Conti, busquen sobre nosotros dentro de su red”.

Mensaje que dejó el grupo en el sitio del Ministerio de Ciencia, Tecnología, Innovación y Telecomunicaciones de Costa Rica para dar cuenta los accesos que tienen.

No se pierda: Hallazgos sobre popular pandilla de ransomware Conti

Radiografía del ransomware Conti

Conti es un ransomware que opera bajo el modelo de ransomware as a service y que ha sido entre los distintos grupos de ransomware el que más actividad tuvo en 2021, sumando a un mes de finalizar el 2021 unas 599 víctimas.

Esta actividad se enmarca en un contexto en el cual la actividad de los grupos de ransomware comenzó a crecer significativamente en 2020 desde el inicio de la pandemia, causando gran preocupación a nivel mundial por el elevado costo de los rescates, la interrupción de las operaciones que provoca esta amenaza en las organizaciones, y por los daños a la reputación.

Este grupo está en actividad desde el año 2019 y en América Latina afectó a organizaciones de Argentina, Colombia, Honduras, Brasil y República Dominicana.

En cuando a la forma de operar de este grupo, desde ESET hemos analizado alguna de sus muestras para ver cuáles son sus principales características de este ransomware. De acuerdo con lo que hemos visto, esta amenaza suele distribuirse a través de correos de phishing que incluyen adjuntos maliciosos que descargan un malware que en instancias posteriores termina en la descarga de Conti en el equipo de la víctima. Otros mecanismos de acceso inicial utilizados por Conti son la explotación de vulnerabilidades o los ataques a servicios RDP expuestos y débilmente configurados.

Otros ataques de Conti que tuvieron gran repercusión fueron el que afectó al sistema de salud de Irlanda y que provocó la interrupción en el funcionamiento de sus sistemas. Más acá en el tiempo, este mes el grupo también afirmó ser el responsable de un ataque a Nordex, una compañía muy importante que se dedica a la fabricación de molinos eólicos y que debió interrumpir sus sistemas tecnológicos tras el incidente.