Guerra de Ramsonware en Costa Rica – Ataques de la banda de ransomware Cont
Conti, uno de los grupos de ransomware más prolíficos y rentables de la actualidad, lanzó un primer ciberataque contra Costa Rica a mediados de abril. En las últimas semanas, la banda de Conti, de habla rusa, o posiblemente un grupo asociado llamado Hive, han intensificado los ataques y ampliado el alcance. Después de que Costa Rica se negara a pagar el rescate inicial de 10 millones de dólares o la petición de rescate duplicada posteriormente, los hackers liberaron casi 700 gigabytes de datos de los servidores gubernamentales del país.
A lo largo de las semanas, la historia ha evolucionado de manera tan clara como confusa. En cualquier caso, este ataque debería servir como una dura advertencia tanto para las empresas privadas como para los gobiernos.
¿Quién es Conti?
Al igual que ReEvil, Conti pone su infraestructura de ransomware como servicio (RaaS) a disposición de grupos afiliados que esencialmente alquilan el servicio, lanzan ataques y comparten los beneficios con Conti.
Conti ha estado activo desde 2020, con ataques anteriores lanzados contra los servicios de salud nacionalizados de Irlanda, la Agencia Escocesa de Protección del Medio Ambiente, y la Junta de Salud del Distrito de Waikato de Nueva Zelanda. Conti, que ataca a empresas con ingresos anuales superiores a 100 millones de dólares, acumuló más de 180 millones de dólares en ingresos en 2021. Se cree que los líderes del grupo son rusos y han declarado públicamente su apoyo a Rusia, señalando que cualquiera que se oponga al país es un objetivo viable.
¿Qué pasó en Costa Rica?
El 18 de abril, el Ministerio de Hacienda de Costa Rica informó que sus sistemas de recaudación de impuestos y de importación y exportación se vieron afectados por un ciberataque. Rápidamente le siguieron otros ataques a la agencia de seguridad social del país y al Ministerio de Trabajo. La banda Conti se atribuyó la responsabilidad, exigiendo un rescate de 10 millones de dólares para poner fin a la doble trama de extorsión, que consistía en robar y encriptar primero los archivos y luego exponerlos en el sitio de extorsión de Conti.
Las agencias gubernamentales se vieron obligadas a cerrar sistemas esenciales, lo que provocó graves interrupciones en los pagos a empleados, pensionistas y beneficiarios de subvenciones. La logística de importación y exportación de la agencia de aduanas, valorada en 38 millones de dólares al día, también se vio interrumpida. El país tuvo que declarar un estado de emergencia. El viernes de esa semana, y sin que Costa Rica pagara, Conti liberó la mitad de los datos robados.
Mientras Costa Rica luchaba por volver a poner los sistemas en línea, muchos creían haber visto el alcance total del ataque. Sin embargo, el 31 de mayo, el país anunció que otro grupo, conocido como Hive, lanzó un segundo ataque contra la Caja Costarricense de Seguro Social (CCSS) pero, como esta brecha es tan nueva, aún no se conoce el alcance total.
Según el gobierno, el ataque ha afectado hasta ahora a 27 instituciones gubernamentales. Conti dice que ha publicado el 95% de todos los datos robados.
¿Por qué Conti atacaría a Costa Rica?
Costa Rica es un destino turístico muy popular y, por lo general, no se le considera un país con un alcance político excesivo o extenso, lo que lleva a preguntarse: ¿por qué lanzar un ataque contra un país tan discreto? Los expertos del sector manejan unas cuantas teorías.
Teoría 1: Algunos expertos en seguridad consideran que la motivación fue la oportunidad de cometer el crimen y no el beneficio económico. Creen que los atacantes buscaban vulnerabilidades y puntos débiles, y que simplemente atacaron cuando los encontraron en los sistemas gubernamentales.
Teoría 2: Debido al momento en que se produjo el primer atentado, algunos piensan que fue un intento de desestabilizar el país durante un momento de transición o de derrocar al gobierno por completo.
Teoría 3: Basándose en las comunicaciones internas de Conti vistas, la empresa de ciberinteligencia ADVIntel cree que el ataque fue una cortina de humo creada para recordar al público el prominente y lucrativo colectivo del grupo, todo ello mientras la dirigencia trabajaba entre bastidores para desmantelar el grupo y unirse a otras bandas de ransomware «amigas».
Teoría 4: Costa Rica ha rechazado públicamente la invasión rusa de Ucrania. Dado que Conti se ha alineado con Rusia y contra todos los que se oponen a ella, algunos expertos postulan que la motivación es política. Esto explicaría por qué la banda estaba trabajando con Hive. Las empresas que querían pagar el rescate de Conti no podían debido a las sanciones económicas contra Rusia; sin embargo, podían pagar a Hive.
¿Qué se está haciendo?
Como ocurre con la mayoría de estos ataques RaaS, no se puede hacer mucho después del hecho. En el momento de escribir este post, Costa Rica todavía no ha pagado ningún rescate y está trabajando para volver a poner sus sistemas en línea.
El Departamento de Estado de Estados Unidos ofrece una recompensa de 10 millones de dólares por información que conduzca a la localización o identidad de los dirigentes de Conti y 5 millones de dólares por información que conduzca a la detención de cualquier persona que intente trabajar con Conti.
¿Cómo puedes proteger tu negocio?
Aunque los ataques de Conti fueron contra entidades gubernamentales de más de 100 millones de dólares, todas las empresas son un objetivo para los atacantes, sin importar su tamaño. Recuerda que estamos hablando de delincuentes sin moral. El aumento del ransomware como servicio (RaaS) es nada menos que sorprendente, por lo que todas las empresas deben tomarse en serio estas amenazas y la ciberseguridad en general.
Asegurar que tienes copias de seguridad puede ayudarte a evitar la necesidad de pagar por una clave de descifrado, pero no evitará un ataque. Dicho esto, el mejor enfoque de la ciberseguridad es aplicar las medidas preventivas adecuadas utilizando las soluciones más eficaces. Si eso funciona a tu favor, podrás detener los ataques antes de que se produzcan daños.
Otra medida a tomar es priorizar la identidad y los privilegios de acceso, lo que evitará que usuarios no autorizados o bots accedan a los sistemas cuando no cumplan con los parámetros adecuados.
La supervisión continua de tu red y la realización de actividades proactivas de caza de amenazas te ayudarán a detectar las intrusiones con antelación y a reaccionar lo antes posible en caso de que un ataque atraviese tu perímetro.