El grupo de hackers de origen ruso Conti, piden $10 millones al Gobierno de Costa Rica por la información sustraída aparentemente de los sitios web del ministerio de Hacienda. Los actores de amenazas cibernéticas de Conti permanecen activos y los ataques de ransomware de Conti informados contra organizaciones estadounidenses e internacionales han aumentado a más de 1,000. Los vectores de ataque notables incluyen Trickbot y Cobalt Strike. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones(FBI) han observado el aumento del uso del ransomware Conti en más de 400 ataques contra organizaciones estadounidenses e internacionales.
Esta vez el ataque de este grupo cibercriminal no fue dirigido hacia USA, sino para un país centroamericano, quienes tiene al gobierno costarricense contra la pared. El ataque informático habría sido del tipo“Ransomware” que restringe el acceso a archivos de un sistema infectado al codificarlos y solicitar dinero a cambio de revertir esta situación. El mundo se enteró de este ataque al viralizarse la comunicación, vía Twitter, de los delincuentes.
«Pedimos solo 10 millones de dólares por mantener los datos de sus contribuyentes» decía, de forma escueta, una publicación de la cuenta BetterCyberen Twitter. El mensaje es claro y la amenaza enorme, aseguran contar un 1 terabyte de información. Nuestros expertos realizaron una radiografía sobre este grupo cibercriminal, y tras analizarlos concluían que el ransomware es un gusano, el favorito del grupo de hackers.
Las plataformas infiltradas y afectadas fueron la TICA, usada por importadores y exportadores nacionales, y la ATV; sitio donde los contribuyentes deben presentar sus declaraciones de impuestos de la renta, ventas, entre otras obligaciones fiscales.
Buscando contrarrestar lo ocurrido, Hacienda cambió la fecha, para pagar impuestos y solicitó a Aduanas aplicar un plan B para solucionar la situación mientras se resuelve la filtración. Ante medios de comunicación, las autoridades confirmaron:
“Efectivamente, desde la madrugada de hoy (lunes, 18 de abril de 2022) enfrentamos una situación en algunos de nuestros servidores, la cual ha sido atendida por nuestro personal y por expertos externos, quienes durante las últimas horas han tratado de detectar y reparar las situaciones que se están presentando”. Se explicó también que se han “suspendido, temporalmente, algunas plataformas como ATV y TICA, y que se estarán reiniciando los servicios una vez que los equipos concluyan sus análisis”.
El Ministerio reiteró que los datos identificados hasta el momento son de carácter histórico y los utiliza el Servicio Nacional de Aduanas, y según ellos, la información secuestrada no afecta las actuaciones operativas o de fiscalización que realiza el Servicio Nacional de Aduanas.
Según explica, el Servicio Nacional de Aduanas, precisamente, se encuentra en un proceso de aplicación de nuevas metodologías de riesgo con asistencia internacional; los instrumentos fueron recientemente actualizados y modificados, y la información secuestrada no es parte de la nueva metodología.
Mario Robles, costarricense experto en ciberseguridad, explicó de forma pública, sobre grupos como Conti que: “Se sabe que en tiempos de ''calma'' ellos preparan, ataques dirigidos a personas y muy bien elaborados (Spearphishing), utilizan cualquier medio para causar sentido de urgencia y es ahí donde entra lo que está pasando: «Explotación de perímetro», porque es lo más fácil de alcanzar y difícil de rastrear”.
Dijo también que “No es casualidad que por este motivo en WhiteJaguars estemos promoviendo la revisión proactiva de perímetro en búsqueda de las vulnerabilidades críticas que grupos criminales como Conti emplean para penetrar la infraestructura de las organizaciones”. Y por último, detalló que desde sus empresas, como respuesta, buscan, de forma manual y expedita, los mismos vectores que esos grupos, que ejecutan revisiones automatizadas con herramientas comerciales y que aplican las herramientas y scripts que ellos mismos desarrollan.
El Gobierno de Costa Rica informó este miércoles que continúa, por tercer día, bajo un ciberataque que ha afectado principalmente al Ministerio de Hacienda y aseguró que no cederá a extorsiones del grupo que se ha atribuido el ataque.
"Estamos atendiendo el tema con toda rigurosidad técnica y al más alto nivel. Estamos frente a una situación orquestada por el crimen organizado transnacional. No estamos dispuestos a ninguna extorsión ni pago de recompensa", expresó en una conferencia de prensa la ministra de la Presidencia, Geannina Dinarte.
La ministra explicó que el Gobierno está reforzando los protocolos y medidas preventivas en las instituciones, ha puesto en marcha un plan de continuidad para no suspender servicios y que se cuenta con el apoyo del sector privado, países amigos y organismos internacionales.
El grupo Conti ha dicho en internet que el 23 de abril publicará información extraída del Ministerio de Hacienda si el Gobierno no le paga 10 millones de dólares.
El ataque ha obligado al Ministerio de Hacienda a deshabilitar la plataforma ATV, que se utiliza para la declaración y pago de impuestos, y el sistema TICA, el cual atiende las exportaciones e importaciones del país.
También está deshabilitado el sistema para el pago de salarios del Estado. El titular de dicha entidad, Elián Villegas, afirmó que la situación “está bajo control” y que los sistemas estarán fuera de línea el tiempo que sea necesario para asegurarse de que la amenaza ya no existe y los sistemas estén “limpios”.
Villegas aseguró que el pago de salarios, deuda y pensiones se realizarán sin problemas en las fechas establecidas, mientras que las aduanas operarán bajo un plan de contingencia sin acceso al sistema TICA para agilizar el paso de las importaciones y exportaciones.