Les ransomwares – et en particulier le gang de ransomwares Conti – sont devenus une force géopolitique au Costa Rica. Lundi, le nouveau président costaricien Rodrigo Chaves – qui a commencé son mandat de quatre ans il y a seulement un peu moins de deux semaines – a déclaré que le pays était « en guerre » avec le gang cybercriminel Conti, dont l'attaque par ransomware a désactivé les agences du gouvernement depuis avril.
Dans un message diffusé lundi sur ses réseaux sociaux, Conti a déclaré qu'il travaillait avec des personnes à l'intérieur du gouvernement. « Nous avons nos initiés dans votre gouvernement. Nous travaillons également à obtenir l'accès à vos autres systèmes, vous n'avez pas d'autres options que de nous payer. Nous savons que vous avez engagé un spécialiste de la récupération des données, n'essayez pas de trouver des solutions de contournement », a déclaré le groupe.
Dans une déclaration énergique faite à la presse le 16 mai, le président Chaves a également déclaré que Conti recevait de l'aide de collaborateurs à l'intérieur du pays et a appelé les alliés internationaux à l'aider. Le président, Rodrigo Chaves, a cité la « sécurité nationale » lorsqu'il a refusé de partager des détails sur l'identité des collaborateurs présumés ou sur la manière dont ils opèrent, selon un compte rendu de la conférence de presse de La Nación.
« Nous sommes en guerre et ce n'est pas une exagération », a déclaré Chaves. « La guerre est menée contre un groupe terroriste international ». Il a ajouté « qu'il y a des indications très claires que des personnes à l'intérieur du pays collaborent avec Conti », mais n'a pas partagé de détails.
Au cours du week-end, des messages publiés sur le site Web de Conti capturés par l'analyste des menaces d'Emsisoft, Brett Callow, ont appelé le peuple du Costa Rica à « organiser des rassemblements » pour forcer le gouvernement à payer et aussi que « nous sommes déterminés à renverser le gouvernement au moyen d'une cyberattaque ».
Conti a déclaré : « pourquoi ne pas simplement acheter une clé ? Je ne sais pas s'il y a eu des cas d'entrée dans une situation d'urgence dans le pays en raison d'une cyberattaque. Dans une semaine, nous supprimerons les clés de déchiffrement pour le Costa Rica. Je lance un appel à tous les résidents du Costa Rica, allez voir votre gouvernement et organisez des rassemblements pour qu'il nous paie le plus rapidement possible. Si votre gouvernement actuel ne peut pas stabiliser la situation ? Peut-être que ça vaut la peine de le changer ? ». Dans un autre message, le groupe a qualifié le président américain Joe Biden de « terroriste ».
De gauche à droite : Sigifredo Pérez, porte-parole du CNE (Commission nationale d'urgence), Carlos Alvarado, ministre du Micitt (ministère de l'Innovation, de la Science, de la Technologie et des Télécommunications), Nogui Acosta, ministre des Finances, Natalia Díaz, ministre de la Présidence, et le président Rodrigo Chaves.
Les attaquants ont exigé 20 millions de dollars, soit le double de la demande précédente de 10 millions de dollars, et ont également affirmé que les clés de déchiffrement seraient supprimées d'ici une semaine. « Payez avant qu'il ne soit trop tard, votre pays a été détruit par 2 personnes, nous sommes déterminés à renverser le gouvernement au moyen d'une cyberattaque, nous vous avons déjà montré toute la force et la puissance, vous avez introduit une urgence », a ajouté le groupe. Malgré la menace de Conti, les experts considèrent qu'un changement de régime au Costa Rica est hautement improbable, ou même le véritable objectif.
« Nous n'avons jamais rien vu d'aussi proche de cela auparavant et c'est une situation assez unique. La menace de renverser le gouvernement est simplement qu'ils font du bruit et ne doit pas être prise trop au sérieux, je ne dirais pas. Cependant, la menace qu'ils pourraient causer plus de perturbations qu'ils ne l'ont déjà fait est potentiellement réelle et qu'il n'y a aucun moyen de savoir combien d'autres départements gouvernementaux ils peuvent avoir compromis, mais pas encore chiffrés », a déclaré Brett Callow.
Chaves a déclaré une urgence nationale liée à l'attaque du 8 mai dans l'un de ses premiers actes officiels après son entrée en fonction. Le département d'État américain a annoncé le 6 mai une récompense de 10 millions de dollars pour toutes informations qui pourraient contribuer à identifier ou localiser les principaux coordinateurs des opérations du groupe Conti, ou 5 millions de dollars pour des informations menant à l'arrestation de tout membre de Conti.
Chaves a déclaré lundi que le gouvernement avait réuni une « équipe SWAT » de diverses agences gouvernementales pour gérer l'attaque de ransomware du 17 avril qui a touché au moins 27 institutions - dont neuf « de manière significative », selon La Nación - et qu'il n'y a toujours pas diagnostic complet de l'ampleur de la situation.
L'attaque a permis aux cybercriminels d'accéder à plusieurs systèmes critiques du ministère costaricien des Finances, notamment les douanes et la perception des impôts. D'autres systèmes ont également été touchés et un mois plus tard, tous ne sont pas encore totalement opérationnels. Le pays est toujours confronté à d'importantes difficultés, notamment en raison des dommages subis par le ministère des Finances. La semaine dernière, le pays a été contraint d'annoncer aux habitants que les impôts doivent être calculés à la main et payés en personne dans les banques locales, par opposition au système numérique que le pays utilisait auparavant.
Depuis le début de l'attaque, le département du Trésor public n'a pu faire fonctionner aucun de ses services numériques, une situation qui a rendu presque impossible le traitement des documents, signatures et tampons requis par la loi.
Bien que Chaves n'ait pas fourni de preuves à l'appui de l'affirmation selon laquelle des collaborateurs costaricains auraient aidé Conti, Callow a noté que les menaces internes sont un problème persistant et connu qui doit être résolu. Un ingénieur travaillant pour un fournisseur de services gérés - une entreprise qui fournit des services informatiques à d'autres entreprises et a accès aux réseaux clients - a été accusé en janvier 2020 d'avoir tenté de vendre des identifiants pour les réseaux clients sur un forum dans le dark web, par exemple.
« Les gangs ont maintenant tellement d'argent qu'ils pourraient potentiellement entrer dans n'importe quelle organisation », a déclaré Callow. « En fait, je serais surpris s'il n'était pas assez courant pour les initiés de leur tendre la main avec des offres d'aide ».
Chronologie des attaques
Les attaques du groupe de cybercriminels connu sous le nom de Conti ont commencé le 18 avril au ministère des Finances, lorsqu'ils ont violé le système d'administration fiscale virtuelle (ATV) et le système de technologie de l'information pour le contrôle douanier (TICA), administré par les douanes. On a estimé qu'il y avait même exposition des renseignements sur les contribuables.
Puis elles ont continué avec le site Micitt et au fil des jours une liste de 20 entités s'est ajoutée dont ils n'ont pas pu voler des données sensibles, selon le rapport rendu le 7 mai, dernier jour du gouvernement de Carlos Alvarado. En fait, la dernière fois que des pirates ont réussi à s'introduire dans un système national, c'était le 25 avril au siège de l'interuniversité d'Alajuela (SIUA), lorsqu'ils ont capturé des données du portail Web du centre éducatif, sans causer de dommages majeurs.
Le département d'État américain a déclaré la semaine dernière que le groupe Conti avait été responsable de centaines d'incidents de ransomware au cours des deux dernières années. « Le FBI estime qu'en janvier 2022, plus de 1 000 victimes d'attaques liées au ransomware Conti ont été recensées, avec des paiements dépassant 150 millions de dollars », indique le communiqué du département d'État américain. « Cela fait du ransomware Conti la souche de ransomware la plus coûteuse jamais documentée », explique le communiqué.
Face à ce risque, les autorités du ministère, en coordination avec d'autres institutions publiques et avec la coopération du secteur privé, ont préparé une stratégie nationale de cybersécurité afin que la nouvelle administration puisse se mettre au travail avec les ajustements nécessaires en matière de sécurité informatique que le besoins de l'appareil.
La Chambre de l'infocommunication et de la technologie (Infocom) et la Chambre costaricienne des technologies de l'information et de la communication (Camtic) ont soutenu les mesures prises par la précédente administration Micitt pour contenir les menaces de Conti, mais ont critiqué la lenteur du ministère des Finances à restaurer ses systèmes presque un mois après l'attaque par des pirates.
« Nous ne connaissons pas l'état de la situation, s'ils ont réussi ou non à récupérer les données. Ils ont agi de manière très hermétique ; la procédure n'est pas très bien connue, qu'ils aient ou non un plan d'urgence. En supposant que ce ne sont pas les résultats et près de trois semaines d'arrêt des systèmes. De toute évidence, l'évaluation de cela est négative », a déclaré Camtic la semaine précédente.
Une situation qui est observée à l'international
Le grave impact de l'attaque de Conti sur le gouvernement costaricien indique la capacité continue des plus grands groupes de rançongiciels à opérer à une échelle pouvant constituer une menace pour les États-nations et à puiser dans les réserves de financement qui leur permettent d'acheter leur place dans certains de leurs systèmes informatiques les plus sensibles en soudoyant ceux qui y ont accès.
« Nous en sommes maintenant au point où ces groupes de rançongiciels gagnent des milliards de dollars, de sorte que leur capacité à accéder à ces [réseaux] n'est limitée que par leur propre désir », a déclaré Jon Miller, PDG et co-fondateur de la plateforme logicielle anti-ransomware Halcyon. « Mois après mois, de plus en plus de ces groupes sont mis en ligne. C'est un problème qui s'aggrave considérablement. »
Jusqu'à présent, le président costaricien est resté intransigeant sur le fait que le gouvernement ne paiera rien au gang des rançongiciels. Aucune des deux parties ne semblant bouger, la situation a atteint une impasse – mais qui sera surveillée de près par d'autres gouvernements dans l'espoir d'éviter un sort similaire.
Source : La Nacion
Voir aussi
Nvidia aurait attaqué au ransomware des hackers qui ont pénétré ses systèmes et auraient volé 1 To de données, mais les hackers ont affirmé qu'ils disposaient d'une sauvegarde de ces données
Les attaques par ransomware ont augmenté de 250 % au cours du premier semestre de 2021, les utilisateurs seront confrontés à une attaque toutes les 11 secondes au cours du second semestre
Une fuite de documents montre que le gang de pirates informatiques, Conti, aide Poutine dans l'ombre, et agit parfois dans l'intérêt de la Russie
Un membre mécontent du gang du ransomware "Conti" divulgue des fichiers internes, car il serait insatisfait de la façon dont l'argent de l'extorsion est réparti