L’11 aprile 2022, il gruppo hacker Conti ha avviato una delle prime campagne ransomware esplicitamente rivolte contro un intero governo federale.

L’operazione ransomware Conti in Costa Rica  ha tenuto in staggio il Paese per due mesi interi, colpendo importanti organi governativi, nonché servizi doganali, finanziari e commerciali.

colpo di stato costa rica

Si è trattato a tutti gli effetti di un colpo di stato il cui obiettivo dichiarato era rovesciare il neonato governo Chaves.

Questi, infatti, fu subito costretto a dichiarare lo stato di emergenza nazionale, cosa mai avvenuta prima a causa di un attacco hacker.

Ma quali risvolti ha avuto la vicenda nel panorama internazionale?

  1. Ransomware Conti: panoramica generale
  2. Attacco Ransomware al Costa Rica: le premesse
  3.  Colpo di Stato Ransomware Conti: cos’è accaduto
  4. Come il Costa Rica ha affrontato il Colpo di Stato Ransomware Conti

Ransomware Conti: panoramica generale

L’operazione ransomware Conti è stata lanciata ad inizio 2020 ed è diventata ben presto una delle minacce più temute a livello globale.

Pare che a muoverne le fila sia Spider Wizardbanda cybercriminale tra le più prolifiche tra quelle attualmente in attività.

Dichiaratamente filo-russa, la cybergang Conti è specializzata nello sviluppo e nella commercializzazione di Ransomware as-a-Service.

Secondo le stime dell’FBI, in soli due anni è stata in grado di colpire oltre 1.000 obiettivi, ricavandone più di 180 milioni di dollari.

Ma andiamo nello specifico dell’aggressione cibernetica ai danni del Costa Rica, indagandone ragioni, meccanismi e tentativi di risoluzione da parte del governo costaricano.

Attacco Ransomware al Costa Rica: le premesse

Come accennato in apertura, l’attacco informatico contro il Costa Rica ha rappresentato qualcosa di mai visto in precedenza.

Per la prima volta nella Storia, veniva esplicitamente preso di mira un intero Stato sovrano.
Ma andiamo per gradi, e analizziamo il contesto entro cui si è svolta la vicenda.

Una prima ipotesi riconduce l’accaduto allo scenario bellico.

La vicenda, infatti, ha avuto inizio ad aprile 2022, proprio a pochi mesi dallo scoppio della guerra in Ucraina.

A tal riguardo, la banda Conti non ha mai negato il suo pieno appoggio alle autorità del Cremlino.

Si ipotizza, pertanto, che il tentativo di colpo di Stato ai danni del Costa Rica rappresenti una sorta di ritorsione per le posizioni filo-ucraine espresse dal governo Chaves.

Ma le ipotesi non si esauriscono qui.

Ransomware Conti: perché proprio il Costa Rica?

Il Costa Rica, infatti, è stato soltanto uno tra i tanti Stati nazionali a schierarsi a favore della controffensiva guidata da Zelens’kyj.

Perché insistere proprio sul Costa Rica, allora?

Si potrebbero individuare due ragioni concomitanti:

  • all’epoca dei fatti, Chaves era appena stato eletto a guida della Nazione. Il Paese, quindi, si trovava in una fase di transizione che lo rendeva particolarmente vulnerabile
  • in secondo luogo, bisogna tener conto che si tratta di un territorio alquanto piccolo e con risorse economiche e infrastrutture di protezione cibernetica pressoché limitate

Il tutto porta a supporre, quindi, che per gli aggressori il Costa Rica rappresentasse semplicemente un obiettivo da attaccare con relativa facilità, sfruttando la guerra come alibi.

Ecco, dunque, spiegato il timore sollevatosi a livello interazionale. C’è chi sospetta, infatti, che l’episodio rappresenti soltanto l’atto inaugurale di una nuova era del cybercrimine.

Per Conti, così come per qualsiasi altra cybergang, quello contro il governo costaricano potrebbe rappresentare soltanto una “prova generale” per attaccare altri Stati minori incapaci di fronteggiare e contrattaccare adeguatamente alle minacce.

Colpo di stato ransomware Conti: cos’è accaduto

Il blog della darknet Conti, la cybergang ha indicato di aver esfiltrato 850 gigabyte di dati al governo costaricano.

In concomitanza, un Twitt diffuso dalla Costa Rica Social Security Fund (CCSS), rivelava che le intenzioni del gruppo criminale erano di renderne pubblici ben 97% .

La prima backdoor in cui i criminali riuscirono a penetrare fu un server appartenente al Ministero delle Finanze. A riuscirci fu un membro del gruppo denominato “MemberX”, che ottenne l’accesso a una connessione VPN tramite credenziali compromesse.

Credenziali precedentemente esfiltrate infettando con un malware un primo server della rete del bersaglio.

In particolare, gli enti governativi presi di mira furono:

  • Ministero delle Finanze, del Lavoro, della Scienza, Innovazione, Tecnologia e Telecomunicazioni
  • Fondo di previdenza Sociale
  • Istituto Meteorologico
  • Radiografica Costarricense (Racsa, provider di servizi internet di proprietà statale)

nonché svariate altre infrastrutture strategiche, come università e servizi doganali.

Subito dopo l’attacco, la cybergang si è rivolta direttamente ai cittadini costaricani affinché facessero pressione sui capi di Stato per il pagamento del riscatto.

Sempre nello stesso messaggio, Conti ha ribadito la sua determinazione a rovesciare il governo costaricano.

In numeri, le perdite furono stimate sui 38 milioni di dollari giornalieri, con più di 800 server attaccati nel solo Ministero delle Finanze: e una completa paralisi del settore commerciale .

Il Dipartimento del Tesoro costaricano aveva, inoltre, reso noto  ai dipendenti pubblici che i servizi di pagamento automatico erano stati compromessi dall’offensiva, così come i sistemi fiscali e doganali. Il tutto si tradusse, ovviamente, in un totale collasso della logistica.

Come il Costa Rica ha affrontato il Colpo di Stato Ransomware Conti

Il governo del Costa Rica non ha mai ceduto alle intimidazioni di Conti e ha rifiutato categoricamente di pagare il riscatto.

I suoi interventi si sono piuttosto concentrati su due asset strategici:

  • il ripristino di sistemi e servizi per evitare che i ritardi intralciassero ulteriormente la burocrazia,
  • e l’irrobustimento del proprio arsenale di sicurezza informatica., finanziando attività di ricerca e sviluppo tecnologico.

Il neoeletto presidente Chaves, da parte sua,

  • ha subito fatto appello a Stati Uniti, Israele, Spagna e Microsoft per attuare la controffensiva
  • e, a soli dieci giorni dall’inizio del mandato, ha proclamato lo stato di emergenza nazionale, misura che fino ad all’ora era stata utilizzata in tutto il mondo soltanto in caso di pandemia o per catastrofi naturali

Alla richiesta d’aiuto, il Dipartimento di Stato degli Stati Uniti ha prontamente offerto una ricompensa di 15 milioni di dollari per  qualsiasi informazione che riconducesse a mandanti, esecutori o qualsiasi membro del gruppo criminale.

Inoltre, ad agosto scorso è stata annunciata l’introduzione di tre soluzioni di sicurezza informatica realizzate dal Ministero della Tecnologia e dell’Innovazione costaricano.

Nello specifico si tratta di:

  • Esercizi informatici per aumentare la capacità di risposta agli incidenti ransomware.
  • Valutazione del rischio per futuri attacchi ransomware.
  • Formazione su simulazione di attacco, difesa e risposta rapida.

Si tratta di tool totalmente gratuiti messi a disposizione di organizzazioni pubbliche e private che contribuiranno ad aumentare e rafforzare consapevolezza e competenze degli specialisti IT in ambito sicurezza informatica..

Sono state, inoltre, realizzate iniziative di comunicazione e coordinamento tra team di cybersecurity di alto profilo ed esponenti del governo e del settore privato.