L'attaque du rançongiciel a empêché le gouvernement de percevoir efficacement les impôts, et les salaires de certains employés publics sont soit surpayés, soit sous-payés, a déclaré Chaves, le président du Costa Rica. Il a reproché au gouvernement précédent de ne pas avoir investi pleinement dans la cybersécurité, et a également déclaré que l'affaire avait été qualifiée par le peuple costaricien « d'incident alors qu'en réalité il s'agit d'une crise nationale » : « Les responsabilités seront définies plus tard, mais pour le moment, nous nous concentrons sur le traitement de ce qui nous a été vendu comme un incident, alors qu'en réalité il s'agit d'une crise nationale ».Les ransomwares – et en particulier le gang de ransomwares Conti – sont devenus une force géopolitique au Costa Rica. Lundi, le nouveau président costaricien Rodrigo Chaves – qui a commencé son mandat de quatre ans il y a seulement un peu moins de deux semaines – a déclaré que le pays était « en guerre » avec le gang cybercriminel Conti, dont l'attaque par ransomware a désactivé les agences du gouvernement depuis avril.
Dans un message diffusé lundi sur ses réseaux sociaux, Conti a déclaré qu'il travaillait avec des personnes à l'intérieur du gouvernement. « Nous avons nos initiés dans votre gouvernement. Nous travaillons également à obtenir l'accès à vos autres systèmes, vous n'avez pas d'autres options que de nous payer. Nous savons que vous avez engagé un spécialiste de la récupération des données, n'essayez pas de trouver des solutions de contournement », a déclaré le groupe.
Dans une déclaration énergique faite à la presse le 16 mai, le président Chaves a également déclaré que Conti recevait de l'aide de collaborateurs à l'intérieur du pays et a appelé les alliés internationaux à l'aider. Le président, Rodrigo Chaves, a cité la « sécurité nationale » lorsqu'il a refusé de partager des détails sur l'identité des collaborateurs présumés ou sur la manière dont ils opèrent, selon un compte rendu de la conférence de presse de La Nación.
« Nous sommes en guerre et ce n'est pas une exagération », a déclaré Chaves. « La guerre est menée contre un groupe terroriste international ». Il a ajouté « qu'il y a des indications très claires que des personnes à l'intérieur du pays collaborent avec Conti », mais n'a pas partagé de détails.
Au cours du week-end, des messages publiés sur le site Web de Conti capturés par l'analyste des menaces d'Emsisoft, Brett Callow, ont appelé le peuple du Costa Rica à « organiser des rassemblements » pour forcer le gouvernement à payer et aussi que « nous sommes déterminés à renverser le gouvernement au moyen d'une cyberattaque ».
Conti a déclaré : « pourquoi ne pas simplement acheter une clé ? Je ne sais pas s'il y a eu des cas d'entrée dans une situation d'urgence dans le pays en raison d'une cyberattaque. Dans une semaine, nous supprimerons les clés de déchiffrement pour le Costa Rica. Je lance un appel à tous les résidents du Costa Rica, allez voir votre gouvernement et organisez des rassemblements pour qu'il nous paie le plus rapidement possible. Si votre gouvernement actuel ne peut pas stabiliser la situation ? Peut-être que ça vaut la peine de le changer ? ». Dans un autre message, le groupe a qualifié le président américain Joe Biden de « terroriste ».
De gauche à droite : Sigifredo Pérez, porte-parole du CNE (Commission nationale d'urgence), Carlos Alvarado, ministre du Micitt (ministère de l'Innovation, de la Science, de la Technologie et des Télécommunications), Nogui Acosta, ministre des Finances, Natalia Díaz, ministre de la Présidence, et le président Rodrigo Chaves.
Les attaquants ont exigé 20 millions de dollars, soit le double de la demande précédente de 10 millions de dollars, et ont également affirmé que les clés de déchiffrement seraient supprimées d'ici une semaine. « Payez avant qu'il ne soit trop tard, votre pays a été détruit par 2 personnes, nous sommes déterminés à renverser le gouvernement au moyen d'une cyberattaque, nous vous avons déjà montré toute la force et la puissance, vous avez introduit une urgence », a ajouté le groupe. Malgré la menace de Conti, les experts considèrent qu'un changement de régime au Costa Rica est hautement improbable, ou même le véritable objectif.
« Nous n'avons jamais rien vu d'aussi proche de cela auparavant et c'est une situation assez unique. La menace de renverser le gouvernement est simplement qu'ils font du bruit et ne doit pas être prise trop au sérieux, je ne dirais pas. Cependant, la menace qu'ils pourraient causer plus de perturbations qu'ils ne l'ont déjà fait est potentiellement réelle et qu'il n'y a aucun moyen de savoir combien d'autres départements gouvernementaux ils peuvent avoir compromis, mais pas encore chiffrés », a déclaré Brett Callow.
Chaves a déclaré une urgence nationale liée à l'attaque du 8 mai dans l'un de ses premiers actes officiels après son entrée en fonction. Le département d'État américain a annoncé le 6 mai une récompense de 10 millions de dollars pour toutes informations qui pourraient contribuer à identifier ou localiser les principaux coordinateurs des opérations du groupe Conti, ou 5 millions de dollars pour des informations menant à l'arrestation de tout membre de Conti.
Chaves a déclaré lundi que le gouvernement avait réuni une « équipe SWAT » de diverses agences gouvernementales pour gérer l'attaque de ransomware du 17 avril qui a touché au moins 27 institutions - dont neuf « de manière significative », selon La Nación - et qu'il n'y a toujours pas diagnostic complet de l'ampleur de la situation.
L'attaque a permis aux cybercriminels d'accéder à plusieurs systèmes critiques du ministère costaricien des Finances, notamment les douanes et la perception des impôts. D'autres systèmes ont également été touchés et un mois plus tard, tous ne sont pas encore totalement opérationnels. Le pays est toujours confronté à d'importantes difficultés, notamment en raison des dommages subis par le ministère des Finances. La semaine dernière, le pays a été contraint d'annoncer aux habitants que les impôts doivent être calculés à la main et payés en personne dans les banques locales, par opposition au système numérique que le pays utilisait auparavant.
Depuis le début de l'attaque, le département du Trésor public n'a pu faire fonctionner aucun de ses services numériques, une situation qui a rendu presque impossible le traitement des documents, signatures et tampons requis par la loi.
Bien que Chaves n'ait pas fourni de preuves à l'appui de l'affirmation selon laquelle des collaborateurs costaricains auraient aidé Conti, Callow a noté que les menaces internes sont un problème persistant et connu qui doit être résolu. Un ingénieur travaillant pour un fournisseur de services gérés - une entreprise qui fournit des services informatiques à d'autres entreprises et a accès aux réseaux clients - a été accusé en janvier 2020 d'avoir tenté de vendre des identifiants pour les réseaux clients sur un forum dans le dark web, par exemple.
« Les gangs ont maintenant tellement d'argent qu'ils pourraient potentiellement entrer dans n'importe quelle organisation », a déclaré Callow. « En fait, je serais surpris s'il n'était pas assez courant pour les initiés de leur tendre la main avec des offres d'aide ».
Chronologie des attaques
Les attaques du groupe de cybercriminels connu sous le nom de Conti ont commencé le 18 avril au ministère des Finances, lorsqu'ils ont violé le système d'administration fiscale virtuelle (ATV) et le système de technologie de l'information pour le contrôle douanier (TICA), administré par les douanes. On a estimé qu'il y avait même exposition des renseignements sur les contribuables.
Puis elles ont continué avec le site Micitt et au fil des jours une liste de 20 entités s'est ajoutée dont ils n'ont pas pu voler des données sensibles, selon le rapport rendu le 7 mai, dernier jour du gouvernement de Carlos Alvarado. En fait, la dernière fois que des pirates ont réussi à s'introduire dans un système national, c'était le 25 avril au siège de l'interuniversité d'Alajuela (SIUA), lorsqu'ils ont capturé des données du portail Web du centre éducatif, sans causer de dommages majeurs.
Le département d'État américain a déclaré la semaine dernière que le groupe Conti avait été responsable de centaines d'incidents de ransomware au cours des deux dernières années. « Le FBI estime qu'en janvier 2022, plus de 1 000 victimes d'attaques liées au ransomware Conti ont été recensées, avec des paiements dépassant 150...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.