(ITNOW)-. El grupo cibercriminal que propaga el ransomware Conti en Costa Rica, amplió su ataque a varias entidades públicas para provocar perjuicio en los sistemas del país, así como pedir rescate o beneficio económico para concluir sus objetivos, sustraer datos a cambio de dinero.
De primera entrada el Ministerio de Hacienda fue el primer blanco de los ciberdelincuentes, lo que provocó que información sensible de los contribuyentes quedara expuesta, así como paralizar exportaciones e importaciones producto del ataque al sistema de Aduanas. Los hackers solicitaron US$10 millones a cambio de desincriptar la información robada. El Gobierno se negó, y ahora el 80% de los datos andan expuestos en la Dark Web.
Los servicios en línea del Ministerio de Hacienda transcurrieron al menos 4 días desactivados, mientras se aseguraban los sistemas de la entidad. Al mismo tiempo el pasado 18 de abril en la noche con el sitio web del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), cuando la página electrónica de televisión digital fue alterada por Conti.
Ambas instituciones afirman que se procedió a desactivar otros servicios como medida preventiva para al menos contrarrestar el ataque.
Elian Villegas, ministro de Hacienda, confirmó que los hackers tuvieron acceso a información ubicada en algunos servidores, pero que se sabrá con exactitud una vez que se termine el análisis forense de lo que ocurrió. Insistió en que los archivos divulgados son de información histórica no actualizada de aduanas, así como archivos que no están desencriptados.
Villegas indicó que se trabaja con Microsoft, que a su vez se apoya en GBM y otra firma, para el análisis de lo ocurrido y la contención.
Caso CCSS
Al día siguiente se les enfrentó un hackeo a la cuenta de Twitter de la Caja Costarricense del Seguro Social (CCSS), que ningún grupo o hacker se atribuido públicamente, posteriormente infiltraron un sistema de Recursos Humanos de la CCSS. La Caja indicó que no había penetrado en datos sensibles y que la información estaba asegurada.
Roberto Blanco Topping, director de Tecnologías de Información de la CCSS, explicó – a través de su oficina de prensa-, que la situación aconteció el miércoles 20 de abril fue contenida. Para paliar la situación, la institución procedió proteger los accesos, suspender el portal y coordinar con los equipos técnicos para determinar si se produjo alguna extracción de información o datos, o eventuales accesos a otras plataformas.
“En horas de la mañana los equipos de monitoreo, humanos y en conjunto con las herramientas tecnológicas con las que se cuenta detectaron incongruencias con respecto a la gestión de datos en el portal de recursos humanos de la institución y se determinó que se había producido un ataque externo”, manifestó Blanco.
El encargado de TI de CCSS justificó que se activaron todos los protocolos de seguridad de la organización, se dio de baja el portal y que en este momento se encuentran en un proceso de análisis para ver cuál fue el impacto y determinar los pasos a seguir.
Aunado a esto, de acuerdo con el reporte de Better Cyber, una cuenta en Twitter que sigue casos de ciberataques en redes sociales, afirmó que Conti había dejado un gusano en el servidor de correo y haber robado correos del Instituto Meteorológico Nacional (IMN). Añadieron otra alerta, se trata de Radiográfica Costarricense S.A. (Racsa).
“Desde el IMN informamos que se recibió una alerta, por medio del Micitt, sobre la vulnerabilidad de nuestro servidor, específicamente el de correos, por lo que se procedió a apagarlo. Ya se está trabajando en solucionar dicha vulnerabilidad”, comentó la oficina de prensa del Ministerio de Ambiente y Energía, al cual está adscrito el IMN. No se pierda: Conti ahora vira su mirada a las empresas privadas de Costa Rica
Detallaron que la plataforma del Instituto Metereológico recuperó su actividad normal, así como otros sistemas como los que se utilizan para el monitoreo del clima.
Por su parte, mientras Conti avanza a paso rápido, la comunicación del Gobierno ha sido lenta y escéptica ante lo sucedido. La ministra Paola Vega, del Micitt indicó que el Ministerio de Hacienda había desactivó varios de sus plataformas, pese a que ya está en marcha el proyecto de Hacienda Digital, aun continúa con los antiguos sistemas.
Better Cyber es la cuenta en redes sociales que sigue paso a paso las infiltraciones que publica Conti a través de la Dark Web.
Rescate
Aunado a esto, mientras el gobierno se desdice que Hacienda no ha recibido solicitud formal de pago por los cibercriminales a cambio de los datos sustraídos. Por su parte, Conti publica rutinariamente la información que extrajo. Se trata de 900 GB aproximadamente de las bases de datos de esa cartera.
Detallaron que esa información robada incluye 100 GB aproximadamente de documentos internos y datos en varios formatos y correos electrónicos. En esa misma publicación fue donde anunciaron el pedido de US$10 millones como medida de extorsión para devolver lo encriptado.
“Si el ministro considera que esta información no es confidencial, la divulgaremos. El problema de la fuga no es el problema principal del ministerio. Sus copias también las encriptamos”, afirmó Conti en el tuit publicado por Better Cyber. Así respondió la estructura criminal digital al jerarca Elián Villegas, de Hacienda.
El cibergrupo aseveró que lo más probable es que el 70% de la infraestructura no sea posible restaurar.
Ver más: Hackers vulneran sistemas del ministerio de Hacienda costarricense; rescate es por US$10 millones
Better Cyber también alertó sobre la posibilidad de que Conti ya esté publicando datos del Ministerio de Hacienda. La entidad respondió el mismo 18 de abril que una información divulgada en redes sociales del Servicio de Aduanas era desactualizada.
La amenaza de Conti se extendió a otras entidades y sectores: “También tenemos puertas traseras en un gran número en sus ministerios y empresas privadas. Les pedimos mucho menos de lo que gastarán… ya has perdido los 10 millones que nos podrías haber pagado”.
“El escenario de Costa Rica es una versión beta de un ciberataque global a todo un país”, alertó Conti tras atacar al Instituto Meteorológico.
Agregan que “esto seguirá hasta que se pague la deuda”, de acuerdo con los posteos de Better Cyber.
Por último se situó la Junta Administrativa del Servicio Eléctrico de Cartago (Jasec) por el malware Conti durante el sábado pasado.
La aparente fuga de información de los clientes de la empresa eléctrica fue admitida por el director de Gobernanza Digital, Jorge Mora Flores, durante una conferencia de actualización sobre la situación nacional por la amenaza de un grupo de hackers.
“Al no tener certeza en este momento, porque es muy poco el tiempo, de qué información se extrajo, sí podría haber información de abonados. No lo estoy garantizando, pero podría haber una extracción de información. No lo tenemos definido”, explicó Mora Flores tras consultas de la prensa costarricense.
“Hay que alertar a las personas a tener cuidado por llamadas no deseadas, mensajes de WhatsApp con enlaces, con correos que les puedan enviar“, recomendó Mora Flores.
Posición oficial y seguimiento
Jorge Mora, director de gobernanza digital del Micitt, en conferencia de prensa en Casa Presidencial, confirmó que en el caso del IMN el servidor afectado fue un servidor de correos electrónicos; en el Micitt la infiltración del micrositio web de televisión digital; en Racsa también habría sido un servidor de “correo menor”, que utilizan algunos usuarios; mientras que el servidor principal fue protegido.
Paola Vega, del Micitt, añadió que se trabaja en coordinación con el clúster de ciberseguridad que se formó en el país, donde participan firmas y entidades académicas especializadas en seguridad informática.
Comments