Ciberataque persistente a Costa Rica pode ser prenuncio de ataque global

Ciberataque persistente a Costa Rica pode ser prenuncio de ataque global. O Governo da Costa Rica enfrenta grave ataque cibernético a quase um mês e hackers dão sinais de que pode ser replicado em outros países e regiões. 

O grupo Conti reivindicou a ação e pediu 10 milhões de dólares em troca de não divulgar a informação que obteve do Ministério das Finanças, ao que o Executivo respondeu que não os contactará nem pagará qualquer quantia.

O ataque cibernético afetou vários ministérios, Previdência Social, sites da Internet para declarações de impostos, entre outros.

Com esse nível de abrangência, é a primeira vez que vivemos uma situação desse tipo” na América Central, avaliou Salas, que afirmou que o Sieca (Secretaría de Integración Económica Centroamericana) está fazendo previsões em função “desse primeiro grande evento”.

ataque cibernético ao Governo da Costa Rica é um ataque de natureza extorsiva (ransomware) que começou na noite ( UTC -6:00) de domingo , 17 de abril de 2022 , em detrimento de diferentes instituições públicas da República da Costa Rica , incluindo o seu Ministério das Finanças , o Ministério da Ciência, Inovação, Tecnologia e Telecomunicações (MICITT), o Instituto Nacional de Meteorologia (IMN), a Costa Rica Radiográfica SA (RACSA), o Fundo Costarriquenho de Segurança Social , o Ministério do Trabalho e Previdência Social (MTSS), Fundo de Desenvolvimento Social e Bolsa Família (FODESAF) e Conselho Administrativo do Serviço Municipal de Eletricidade de Cartago (JASEC). O grupo pró-russo Conti Group reivindicou a autoria do ataque e solicitou um resgate de 10 milhões de dólares em troca de não divulgar as informações roubadas do Ministério das Finanças, que podem incluir informações confidenciais, como declarações fiscais de cidadãos e empresas. operando na Costa Rica.

Como consequência, o governo teve que cancelar os sistemas informatizados utilizados para declarar impostos, bem como para o controle e gestão das importações e exportações , causando prejuízos ao setor produtivo da ordem de 30 milhões de dólares por dia. Da mesma form , as páginas web do MICITT foram removidas da rede e o presidente da Costa Rica, Rodrigo Chaves, declarou estado de emergência nacional após ataques cibernéticos .

A Costa Rica precisou de assistência técnica dos Estados Unidos , Israel , Espanha e da empresa Microsoft , entre outros, para lidar com o ataque cibernético. O ataque consistiu em infeções de sistemas informáticos com ransomware , defacement  (desconfiguração) de páginas web, roubo de arquivos de correio eletrônico e ataques ao portal de recursos humanos da Segurança Social , bem como à sua conta oficial de Twitter

Em 6 de maio de 2022, o governo dos Estados Unidos, por meio do FBI , ofereceu uma recompensa de US$ 10 milhões por informações que levassem à identificação de uma pessoa ou pessoas em posição de liderança no Grupo Conti e US$ 5 milhões adicionais por informações que levassem à captura ou condenação, em qualquer país, de indivíduos que ajudaram ou conspiraram para realizar ataques de ransomware Conti. 

O grupo Conti que assumiu a autoria do ataque divulgou quase a totalidade dos dados que foram roubados durante o ataque.  De um total de 672GB, 97% já foram vazados segundo o próprio grupo.

O caso ocorre em conjunto com outras ações que tem atingido países e empresas consideradas essenciais.

 

Cronologia do Ataque

Os servidores do Ministério da Fazenda da Costa Rica foram os primeiros a serem comprometidos durante a noite de domingo, 17 de abril. A conta do BetterCyber ​​no Twitter foi a primeira a replicar, no dia seguinte, a postagem no fórum do Grupo Conti que denunciou o hacking da instituição do governo costarriquenho, indicando que 1 terabyte de informação havia sido roubado da plataforma ATV, usada por o governo, para que cidadãos e empresas apresentem suas declarações de impostos. Por sua vez, a publicação indicou que os dados começariam a ser publicados em 23 de abril.

Antes das 10 horas de Segunda-feira, 25 de abril, o Ministério das Finanças informou através de um comunicado de imprensa e através das suas redes sociais que “por problemas técnicos“, a plataforma da Administração Fiscal Virtual (ATV) e o Sistema de Informação Aduaneira (TICA) foram desactivados, e que o prazo para apresentação e pagamento dos tributos devidos naquele dia seria prorrogado até o próximo dia útil após a restauração dos sistemas. A instituição não reconheceu imediatamente ter sido hackeada e inicialmente se recusou a responder perguntas da imprensa sobre a denúncia do Grupo Conti.

No dia seguinte, o Conti Group postou um novo post em seu fórum anunciando que estava pedindo US$ 10 milhões em resgate pelas informações roubadas. O Ministério das Finanças confirmou que a informação publicada até ao momento correspondia a informação do Serviço Nacional de Alfândegas, utilizada para abastecimento e apoio. 

Em relação às comunicações detetadas nas redes sociais, e classificadas como hacking, o Ministério das Finanças comunica o seguinte:
De fato, desde hoje cedo estamos enfrentando uma situação em alguns de nossos servidores, que tem sido atendida por nossa equipe e por especialistas externos, que nas últimas horas tentaram detectar e reparar as situações que estão ocorrendo.
Este Ministério tomou a decisão de permitir que as equipas de investigação efetuem uma análise aprofundada dos sistemas de informação, para o qual decidiu suspender temporariamente algumas plataformas como ATV e TICA, sendo que os serviços serão reiniciados assim que o equipes completam suas análises.
Nas últimas horas foi detetada a exposição de alguns dos dados pertencentes à Direção-Geral das Alfândegas, que está a realizar os processos de investigação de informação, conforme estabelecido no plano de resposta.
Os dados identificados até agora são de natureza histórica e são utilizados pelo Serviço Nacional de Alfândegas como insumos e suporte.
Ministerio de Hacienda

Horas após o comunicado do Tesouro, o microsite do Ministério da Ciência, Inovação, Tecnologia e Telecomunicações (MICITT) sofreu um defacement (desfiguração) em que foi deixada a mensagem: “Te saludamos desde Conti, búscanos en tu red”.  

Jorge Mora Flores, diretor de Governança Digital da Costa Rica, indicou que como resultado do ataque, e porque o servidor afetado hospeda outras páginas, foi decidido desligá-lo enquanto as verificações correspondentes foram realizadas para determinar em que medida segurança foi violada. Posteriormente, uma atualização do fórum do Grupo Conti indicou que os ataques contra os ministérios da Costa Rica continuariam “até que o governo nos pague“. 

Horas depois, Conti atacou o Instituto Meteorológico Nacional da Costa Rica, especificamente um servidor de e-mail, roubando as informações nele contidas. E afirmou que o cenário que a Costa Rica estava vivenciando era uma “versão beta de um ataque cibernético global em um país inteiro“. Mais tarde, em outra atualização em seu fórum, eles indicaram que se o Ministério da Fazenda não informasse seus contribuintes sobre o que estava acontecendo, eles:

Se o ministro não puder explicar aos seus contribuintes o que está acontecendo, nós iremos: 1) ter penetrado sua infraestrutura crítica, obtido acesso a mais de 800 servidores, baixado mais de 900 GB de bancos de dados e mais de 100 GB de documentos internos, bancos de dados no formato mdf MSSQL, há mais do que apenas o e-mail, nome, sobrenome… Se o ministro considerar que essa informação não é confidencial, nós a publicaremos. O problema do vazamento não é o principal problema do Ministério, seus backups também foram criptografados, 70% de sua infraestrutura provavelmente não pode ser restaurada e temos backdoors em grande parte de seus ministérios e empresas privadas. Pedimos uma quantia significativamente pequena do que você gastará no futuro.
Grupo Conti

Mais tarde naquele dia, o governo da Costa Rica negou ter recebido um pedido de resgate, apesar da postagem no fórum do Grupo Conti sobre os US$ 10 milhões.

Em 20 de abril, Conti publicou mais 5 GB de informações roubadas do Ministério da Fazenda. À tarde, o Governo convocou uma entrevista coletiva no Palácio Presidencial, onde argumentou que a situação estava sob controle e que, além do Tesouro, do MICITT e do IMN, a Costa Rican Radiographic SA (RACSA) havia sido atacada, explorando-se o servidor de e-mail interno. Enquanto isso, o Fundo Costariquenho de Seguridade Social (CCSS) informou ter sofrido um ataque cibernético em seu site de recursos humanos, que estava sendo combatido. O Grupo Conti não se responsabilizou pelo ataque, pois a Fundo informou horas depois que nenhuma informação sensível foi roubada do segurado, como seu histórico médico ou contribuições para previdência ou seguro saúde, e que os bancos de dados foram deixados intactos.

A Ministra da Presidência, Geannina Dinarte Romero , indicou que se trata de um caso de crime organizado internacional e que o Governo da Costa Rica não pagaria nenhum resgate. Da mesma forma, anunciou que estavam recebendo assistência técnica dos governos dos Estados Unidos , Israel e Espanha , bem como da empresa Microsoft , que era a primeira que operava os servidores do Ministério da Fazenda.

No dia 21 de abril, o Grupo Conti atacou os servidores do Ministério do Trabalho e Previdência Social (MTSS), bem como do Fundo de Desenvolvimento Social e Bolsa Família (FODESAF), nas primeiras horas da manhã. O relatório preliminar do Governo indica que foram roubadas informações como e-mails, dados sobre pagamentos de pensões e ajudas sociais de ambas as instituições. Da mesma forma, o grupo ofereceu um desconto de 35% sobre o valor do resgate exigido se o Governo da Costa Rica efetuasse o pagamento pontual. 

Antes do meio-dia, o MICITT realizou uma entrevista coletiva onde o Governo reiterou sua posição de não pagar o resgate exigido pelo Grupo Conti, para o qual horas depois o grupo criminoso anunciou que começaria imediatamente a publicar as informações roubadas, instando os cibercriminosos costarriquenhos a tomarem vantagem disso para cometer phishing

O presidente Carlos Alvarado Quesada deu sua primeira declaração pública sobre o hack no dia 21. 

(VÍDEO) Declaração do Presidente Carlos Alvarado Quesada sobre o hacking.
Reitero que o Estado da Costa Rica NÃO PAGARÁ NADA a esses cibercriminosos. Mas a minha opinião é que este ataque não é uma questão de dinheiro, mas sim visa ameaçar a estabilidade do país, em situação de transição. Isso eles não vão fazer. Como sempre fizemos, cada pessoa nesta terra fará sua parte para defender a Costa Rica.
Carlos Alvarado Quesada

À tarde, o Governo emitiu uma portaria dirigida ao setor público de forma a proteger o bom funcionamento, a confidencialidade e a cibersegurança do aparelho público. O documento prevê que em caso de qualquer situação que afete a confidencialidade, disponibilidade e integridade dos serviços disponibilizados ao público, a continuidade das funções institucionais, o roubo de identidade da instituição nas redes sociais, e mesmo aqueles que dentro da instituição são considerado sob controle, o Centro de Resposta a Incidentes de Segurança Informática (CSIRT-CR) deve ser informado do evento; Além disso, de forma preventiva, a instituição afetada deve apoiar com informações sobre o incidente ocorrido, para as investigações correspondentes. 

Da mesma forma, as instituições devem realizar os processos de manutenção em sua infraestrutura de telecomunicações, seja ela da Administração Pública ou de uma empresa contratada. Essas ações incluem atualizações permanentes de todos os sistemas institucionais, alteração de senhas de todos os sistemas e redes institucionais, desativação de serviços e portas desnecessárias e monitoramento da infraestrutura de rede. Além de aplicar qualquer alerta dado pelo CSIRT-CR, conforme o caso de sua instituição. 

A diretriz também ordena que uma varredura de vulnerabilidades seja realizada pelo menos duas vezes por ano nos sites oficiais do Governo da Costa Rica. 

Na manhã de 22 de abril, o Governo da Costa Rica informou que nenhum novo ataque do Grupo Conti contra o país havia sido registrado desde o dia anterior. No entanto, o diretor de Governança Digital, Jorge Mora, explicou que desde que começaram a tomar medidas preventivas nas instituições do Estado, detectaram 35.000 solicitações de comunicação de malware , 9.900 incidentes de phishing , 60.000 tentativas de controle remoto de infraestrutura, tecnologia da informação e 60.000 tentativas para minerar criptomoedas na infraestrutura de computadores das primeiras 100 instituições estatais intervieram. 

Em 23 de abril, o Grupo Conti atacou o Conselho Administrativo do Serviço Elétrico Municipal de Cartago (JASEC), empresa pública responsável pelo fornecimento de energia elétrica da província de Cartago . Jorge Mora Flores informou naquele dia que as informações do assinante poderiam ter sido comprometidas. No dia seguinte, ele informou que as informações contábeis e de recursos humanos da instituição foram criptografadas como parte do ataque. 

Em 25 de abril, Conti anunciou que mudaria sua estratégia de ataque ao Estado da Costa Rica, agora com foco nas grandes empresas do setor privado. O grupo anunciou que deixaria de anunciar seus hacks em sua página da deep web, para se concentrar em solicitar o respectivo resgate pelas informações roubadas e criptografadas. 

Em 26 de abril, o MICITT informou que o site da Sede Interuniversitária de Alajuela foi atacado e que houve uma tentativa de violação dos servidores do Instituto de Desenvolvimento Rural (IDER), mas que foi efetivamente repelida. Em 29 de abril, o governo denunciou uma tentativa de invasão ao Ministério da Economia, Indústria e Comércio (MEIC) e um dia depois contra a Fábrica Nacional de Bebidas (FANAL) e os municípios de Turrialba e Golfito.

Em 2 de maio, outra tentativa de hacking foi relatada no Ministério da Justiça e Paz (MJP), embora tenha sido repelida. No dia seguinte, foram relatados ataques cibernéticos aos municípios de Garabito e Alajuelita , embora também não tenham alcançado seu objetivo; também foi registrada uma tentativa de ataque ao Conselho de Proteção Social (JPS). 

Em 4 de maio, o MICITT denunciou tentativas de hackers à Comissão Nacional de Empréstimo Educacional (CONAPE) e mais uma ao Colégio Universitário de Cartago (CUC), embora esta última não fosse de responsabilidade de Conti.

PLANO DE CONTINGÊNCIA

Nesse contexto e a pedido da Costa Rica e dos demais países da sub-região, foi ativado um plano de contingência para garantir os fluxos comerciais “numa região tão integrada como a América Central“, disse o chefe de gabinete da Secretaría de Integración Económica Centroamericana (Sieca), Duayner Salas. “Um ataque desta natureza, apesar de ser dirigido a um país, tem um impacto muito maior (…) a resposta tem sido articulada. Ter esses níveis de vontade de apoiar um país é vital para poder sair mais forte de situações como a que a Costa Rica está enfrentando”, disse o funcionário regional.

A presidência pro tempore da organização, que é presidida pelo Panamá, informou que o Comitê ativou na quinta-feira o “Plano de Contingência para a recuperação dos sistemas informáticos regionais enquanto se estabiliza o sistema informático da Costa Rica“.

Da mesma forma, os países vão rever o referido Plano de Contingência de forma a identificar melhorias na resposta a estas eventualidades“, segundo informação oficial divulgada.

O Comitê Aduaneiro Centro-Americano ativou em 22 de abril um plano de contingência que “permite dar um tratamento especial às operações que atualmente não estão sendo realizadas por meio do sistema informatizado TICA, que tem contato com os demais sistemas informatizados nacionais e regionais e permite que a trânsito de documentação e informações”, explicou Salas.

A América Central conseguiu se digitalizar e é por isso que a transmissão de documentos alfandegários é feita essencialmente por meio de formatos eletrônicos. Um plano de contingência como o que está em curso baseia-se no regresso a um exercício manual das diferentes burocracias e procedimentos”, especificou o responsável.

Assim, a carga terrestre não foi paralisada, embora tenha havido alguns atrasos e filas em Peñas Blancas, fronteira entre Nicarágua e Costa Rica, justamente porque o plano de contingência é manual, disse Salas.

Salas explicou que tanto a Costa Rica como os demais países centro-americanos pediram à Sieca “que trabalhe em um sistema informático adicional, um segundo mecanismo de contingência, que permitiria outro modelo para lidar com a situação que a Costa Rica vive” para garantir a transmissão Eletrônica DUCA-F e DUCA-T.

A plataforma DUCA-F contém os registros do comércio intrarregional administrado sob este formulário, e o DUCA-T engloba as operações sob o regime de trânsito terrestre internacional de acordo com as normas centro-americanas vigentes, segundo informações oficiais.

La Sieca concluiu o desenvolvimento de computadores alternativos para a transmissão eletrônica do DUCA-F para exportações da Costa Rica para a América Central e a Direção Geral de Alfândegas da Costa Rica informou que o adotará. 

Histórico do Grupo Conti aponta apoio a Russia

O Conti Group é uma organização criminosa dedicada a realizar ataques de ransomware , roubar arquivos e documentos de servidores e exigir um resgate. Seu modus operandi é infectar computadores com o malware Conti , que opera com até 32 threads lógicos individuais, tornando-o muito mais rápido do que a maioria dos vírus do gênero. 

O membro mais antigo é conhecido pelos pseudônimos Stern ou Demon e atua como CEO. Outro membro conhecido como Mango atua como gerente geral e se comunica frequentemente com Stern . Mango disse a Stern em uma mensagem que havia 62 pessoas na equipe principal. O número de pessoas envolvidas oscila, chegando a 100. Devido à constante rotatividade de membros, o grupo recruta novos membros por meio de sites de recrutamento legítimos e sites de hackers. 

Os programadores comuns ganham de US$ 1.500 a US$ 2.000 por mês, e os membros que negociam pagamentos de resgate podem receber uma parte dos lucros. Em abril de 2021, um membro do Grupo Conti alegou que um jornalista anônimo recebeu um corte de 5% nos pagamentos de ransomware, pressionando as vítimas a pagar. 

Durante a invasão russa da Ucrânia em 2022 , o Grupo Conti anunciou seu apoio à Rússia e ameaçou implementar “medidas de retaliação” se ataques cibernéticos fossem lançados contra o país. Como resultado, uma pessoa anônima vazou aproximadamente 60.000 mensagens de log de bate-papo interno junto com o código-fonte e outros arquivos usados ​​pelo grupo.

As opiniões expressas nos vazamentos incluem apoio a Vladimir Putin , Vladimir Zhirinovsky , antissemitismo (incluindo Volodymyr Zelensky ). Um membro conhecido como Patrick repetiu várias alegações falsas feitas por Putin sobre a Ucrânia. Patrick mora na Austrália e pode ser cidadão russo. Mensagens contendo homofobia , misoginia e referências a abuso infantil também foram encontradas . 

O Conti é responsável por centenas de incidentes de ransomware desde 2020. O FBI estima que, em janeiro de 2022, havia mais de 1.000 vítimas de ataques associados ao ransomware Conti com pagamentos de vítimas superiores a US$ 150.000.000, tornando a cepa Conti Ransomware a cepa de ransomware mais prejudicial alguma vez documentado. 

A Conti normalmente aluga sua infraestrutura de ransomware para “afiliados” que pagam pelo serviço. O afiliado que ataca a Costa Rica pode estar em qualquer lugar do mundo, disse Liska.

Há um ano, um ataque de ransomware Conti forçou o sistema de saúde da Irlanda a encerrar seu sistema de TI, cancelando consultas, tratamentos e cirurgias.

No mês passado, Conti ofereceu seus serviços para apoiar a invasão russa da Ucrânia. A medida irritou hackers simpatizantes da Ucrânia. Isso também fez com que um pesquisador de segurança que estava de olho no Conti por muito tempo vazasse uma enorme lista de pendências de comunicação interna entre alguns operadores do Conti.

Fonte: Forbes & CISO Advisor & Infobae & Wikipedia & Chron & 

 

Veja também:

Sobre mindsecblog 1762 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!