Jorge Mora, chef de la gouvernance numérique du Costa Rica, a reçu en avril un message de l’un de ses responsables : « Nous n’avons pas pu le contenir et ils ont crypté les serveurs. Nous avons déconnecté tout le ministère.
Il était mis au courant d’une cyber-attaque déchirante par un groupe de rançongiciels russe notoire appelé Conti, qui a commencé au ministère des Finances du pays d’Amérique centrale et a finalement pris au piège 27 ministères différents dans une série d’attaques interdépendantes qui se sont déroulées au fil des semaines.
L’attaque était “impressionnante par son ampleur”, selon un responsable occidental. Habituellement, les pirates parviennent à accéder à des systèmes uniques, mais le cas du Costa Rica met en évidence le risque posé par une cybersécurité faible pour l’ensemble de l’infrastructure informatique d’un pays. Au Costa Rica, Conti avait passé des semaines, voire des mois, à fouiller dans ses systèmes gouvernementaux, sautant d’un ministère à l’autre.
Conti a proposé de restituer les données : à un prix allant jusqu’à 20 millions de dollars. Mais le gouvernement du Costa Rica a refusé de payer la rançon. Au lieu de cela, le président nouvellement installé Rodrigo Chaves a déclaré une urgence nationale, lancé une chasse aux « traîtres » présumés et s’est appuyé sur des alliés plus avertis en matière de technologie tels que les États-Unis et l’Espagne pour lui venir en aide.
“Nous sommes en guerre, et ce n’est pas une exagération”, a déclaré Chaves dans les jours qui ont suivi son investiture à la mi-mai, accusant l’administration précédente d’avoir caché la véritable ampleur des perturbations, qu’il a comparées au terrorisme.
L’impasse a laissé des parties de l’infrastructure numérique du Costa Rica paralysées pendant des mois, paralysant la collecte des impôts en ligne, perturbant les soins de santé publics et le salaire de certains travailleurs du secteur public.
Entre-temps, les bourreaux de l’ombre du Costa Rica étaient eux-mêmes une force épuisée, victimes de rivalités géopolitiques dans le monde du piratage informatique qui avaient été enflammées par la guerre en Ukraine. Après avoir déclaré son soutien à l’invasion russe le 24 février, le groupe a été trahi par l’un de ses initiés, prétendument un pirate informatique ukrainien, qui a divulgué ses boîtes à outils, ses chats internes et d’autres secrets en ligne en représailles.
Alors que le Costa Rica continue de faire face aux conséquences de la cyberattaque, une grande partie de Conti avait fondu après la fuite, selon Toby Lewis, responsable de l’analyse des menaces chez Darktrace, une entreprise de cybersécurité.
“Au début de 2022, nous étions prêts pour une autre année pour un groupe comme Conti à son apogée, gagnant des sommes d’argent assez importantes”, a déclaré Lewis. “Lorsque la Russie a envahi l’Ukraine, tout s’est terminé. Soutenir la Russie était, en termes commerciaux, la pire décision qu’ils auraient pu prendre. »
L’attaque la plus percutante de Conti s’est avérée être la dernière. Fin juin, le site Web public de Conti, où il avait raillé le Costa Rica et d’autres victimes, a été fermé, tout comme son site de négociations sur le dark web, ont déclaré des chercheurs en sécurité.
Au fur et à mesure que les attaques se déroulaient, Mora a déclaré que son équipe avait dormi à peine quatre heures par nuit pendant près d’un mois pour ralentir la progression des pirates dans d’autres ministères. L’Espagne a envoyé son propre logiciel de protection contre les rançongiciels MicroClaudia, qui a été développé par son Centre national de cryptologie.
Les États-Unis ont envoyé des équipes pour aider, avec des logiciels et l’expertise de Microsoft, IBM et Cisco, et le département d’État américain a offert une prime allant jusqu’à 15 millions de dollars pour traduire Conti ou ses partisans en justice.
Rejetant les critiques de Chaves, Mora a déclaré que sans leur rythme de travail et leur coopération après l’attaque, “nous aurions eu 50 cas comme le ministère des Finances”.
Mais les efforts du Costa Rica pour reprendre le contrôle de leurs systèmes informatiques se sont accompagnés de la disparition de Conti, compliquant davantage leurs efforts. Un responsable occidental qui a été informé des enquêtes a déclaré que même si Chaves avait accepté de payer la rançon, qui variait de 20 millions de dollars à 1 million de dollars, il n’est «pas clair qui était à l’autre bout du fil. En juin, personne ne répondait au téléphone, au sens figuré.
« Conti au Costa Rica était en quelque sorte une dernière tentative désespérée pour obtenir une sorte de titre, un certain buzz autour de leurs actions », a déclaré Shmuel Gihon, chercheur en sécurité chez Cyberint, basé en Israël.
Autrefois estimé à quelque 400 hackers plus un nombre inconnu d’affiliés qui louaient leur boîte à outils – qui en 2021 avaient rapporté à l’affilié de piratage russe des centaines de millions de dollars en crypto-monnaie d’au moins 600 cibles – Conti était bientôt tombé à quelques dizaines de semaines seulement après l’attaque du Costa Rica.
Mais il y a des signes qu’il se regroupe sous différentes formes. Cela inclut un groupe appelé BlackBasta, qui, quelques mois après son émergence, a atteint 50 organisations. Les chercheurs en sécurité affirment que la vitesse de ses attaques suggère que les déserteurs de Conti avaient emporté avec eux leurs connaissances de l’infrastructure informatique de leur victime à BlackBasta.
Pendant ce temps, le Costa Rica continue de faire face aux conséquences du piratage d’avril. Comme dans toutes les attaques de rançongiciels réussies, il n’y a aucun moyen de déchiffrer ses propres données sans clé de ses attaquants – la plupart des systèmes doivent être reconstruits à partir de zéro, avec des sauvegardes parcourues pour s’assurer qu’elles n’incluent pas le logiciel malveillant d’origine. Ce processus peut prendre des mois, voire un an ou deux.
Jusqu’à récemment, les systèmes douaniers du pays devaient recourir au papier et au courrier électronique, ce qui ralentissait l’ensemble du processus, a déclaré Monica Segnini, présidente de Grupo Desacarga, une société qui fournit des services d’importation et d’exportation.
“Cela signifie que vous payez plus pour les conteneurs qui doivent rester assis pendant des jours sur des terrasses qui n’ont pas été utilisées depuis des années”, a-t-elle déclaré, ajoutant que l’entreprise payait volontairement ses impôts sur les sociétés mais qu’il n’y avait aucun contrôle. « Nous évoluons dans une zone grise.
Un haut responsable du gouvernement a déclaré que de nombreux systèmes du ministère des Finances avaient maintenant été restaurés, y compris les douanes et les salaires.
Pour les Costariciens comme Alejandra, 65 ans, qui souffre de troubles mentaux, le traitement médical est retardé, a déclaré son mari dans une interview. Les médecins ne peuvent pas accéder à son IRM précédente et doivent maintenant attendre d’y avoir accès, a-t-il déclaré.
Zulma Monge, professeur de sciences et coordinatrice académique dans un lycée technique d’un quartier défavorisé du nord-est de la ville, est payée 400 000 colons de moins que ce qui lui est dû car le système ne peut pas gérer les heures supplémentaires.
Elle utilise ses économies pour payer la scolarité de ses deux enfants et ses propres frais de deuxième degré. “Cela ne s’était jamais produit auparavant”, a-t-elle dit, “dans le [ministry] ils ne nous donnent pas de réponses sur le moment où l’argent dû sera payé.
Le processus de prévention de nouvelles attaques n’a pas non plus été tout à fait fluide, a admis Carlos Alvarado Briceño, ministre chargé de la Science, de l’Innovation, de la Technologie et des Télécommunications.
Un autre groupe de piratage appelé Hive a attaqué les services de sécurité sociale du pays – le logiciel défensif du gouvernement espagnol avait à peine été déployé, avec seulement 13 unités sur 20 000 installées.
“Évidemment, le président était inquiet, et il était très énervé aussi. . . nous avions déjà au moins quelques outils pour pouvoir le contenir et cela ne s’est pas produit », a déclaré Alvarado Briceño. « Dans le passé, notre pays n’avait pas pris ce sujet aussi au sérieux que nécessaire. Quelle est la leçon apprise ? Ne lésinez pas sur la cybersécurité nécessaire dans toutes les institutions. »
:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/elimparcial/NU7CMU46GRCWJMCJTLSZ2OAWHY.jpg)
