Mais l’attaque contre le ministère des Finances n’était que le début. Une chronologie partagée par Mora affirme que Conti a tenté de violer différentes organisations gouvernementales presque tous les jours entre le 18 avril et le 2 mai. Les autorités locales, telles que la municipalité de Buenos Aires, ont été ciblées, ainsi que les organisations du gouvernement central, y compris le ministère du Travail et Sécurité sociale. Dans certains cas, Conti a réussi; dans d’autres, cela a échoué. Mora dit que les États-Unis, l’Espagne et des entreprises privées ont aidé à se défendre contre les attaques de Conti, en fournissant des logiciels et des indicateurs de compromis liés au groupe. “Cela a beaucoup bloqué Conti”, dit-il. (Début mai, les États-Unis ont affiché une récompense de 10 millions de dollars pour des informations sur le leadership de Conti.)
Le 8 mai, Chaves a commencé son mandat de quatre ans en tant que président et a immédiatement déclaré une “urgence nationale” en raison des attaques de rançongiciels, qualifiant les attaquants de “cyberterroristes”. Neuf des 27 organismes ciblés ont été “très touchés”, a déclaré Chaves le 16 mai. Le MICIT, qui supervise la réponse aux attaques, n’a pas répondu aux questions sur l’avancement de la reprise, bien qu’il ait initialement proposé d’organiser un entretien. .
« Toutes les institutions nationales n’ont pas assez de ressources », dit Robles. Au cours de la reprise, dit-il, il a vu des organisations fonctionner avec des logiciels hérités, ce qui rend beaucoup plus difficile l’activation des services qu’elles fournissent. Certains organismes, dit Robles, “n’ont même pas de personne travaillant sur la cybersécurité”. Mora ajoute que les attaques montrent que les pays d’Amérique latine doivent améliorer leur résilience en matière de cybersécurité, introduire des lois pour rendre obligatoire le signalement des cyberattaques et allouer davantage de ressources pour protéger les institutions publiques.
Mais juste au moment où le Costa Rica commençait à maîtriser les attaques de Conti, un autre coup de marteau a frappé. Le 31 mai, la deuxième attaque a commencé. Les systèmes de la Caisse costaricaine de sécurité sociale (CCSS), qui organise les soins de santé, ont été mis hors service, plongeant le pays dans un nouveau genre de désarroi. Cette fois, le rançongiciel HIVE, qui a des liens avec Conti, a été blâmé.
L’attaque a eu un effet immédiat sur la vie des gens. Les systèmes de soins de santé se sont déconnectés et les imprimantes ont craché des ordures, comme l’a rapporté pour la première fois le journaliste de sécurité Brian Krebs. Depuis lors, les patients se sont plaints de retards dans l’obtention d’un traitement et le CCSS a averti les parents dont les enfants subissaient une intervention chirurgicale qu’ils pourraient avoir du mal à localiser leurs enfants. Le service de santé a également commencé à imprimer des formulaires papier abandonnés.
Le 3 juin, le CCSS avait déclaré une “urgence institutionnelle”, des rapports locaux affirmant que 759 des 1 500 serveurs et 10 400 ordinateurs avaient été touchés. Un porte-parole du CCSS a déclaré que les services hospitaliers et d’urgence fonctionnent désormais normalement et que les efforts de son personnel ont permis de maintenir les soins. Cependant, ceux qui recherchent des soins médicaux ont été confrontés à des perturbations importantes : 34 677 rendez-vous ont été reportés au 6 juin. (Le chiffre est de 7 % du nombre total de rendez-vous ; le CCSS indique que 484 215 rendez-vous ont eu lieu.) Imagerie médicale, pharmacies, laboratoires d’essais, et les blocs opératoires sont tous confrontés à des perturbations.
La mort de Conti
On se demande si les deux attaques de rançongiciels distinctes contre le Costa Rica sont liées. Cependant, ils surviennent alors que le visage des ransomwares est peut-être en train de changer. Ces dernières semaines, les gangs de rançongiciels liés à la Russie ont changé de tactique pour éviter les sanctions américaines et se battent plus que d’habitude pour leur territoire.
Conti a d’abord annoncé son attaque contre le ministère des Finances sur son blog, où il publie les noms de ses victimes et, si elles ne paient pas sa rançon, les fichiers qu’il leur a volés. Une personne ou un groupe se faisant appeler unc1756 (l’abréviation « UNC » est utilisée par certaines entreprises de sécurité pour désigner des attaquants « sans catégorie ») a utilisé le blog pour revendiquer la responsabilité de l’attaque. L’attaquant a exigé 10 millions de dollars en guise de rançon, ce qui a ensuite porté le chiffre à 20 millions de dollars. Lorsqu’aucun paiement n’a été effectué, ils ont commencé à télécharger 672 Go de fichiers sur le site Web de Conti.