Cuộc Tấn Công của Conti Đối Mặt với Costa Rica Kích Phát Đầu Một Thời Đại Ransomware Mới

Trong hai tháng qua, Costa Rica đã chìm đắm trong cuộc tấn công. Hai cuộc tấn công ransomware lớn đã làm suy giảm nhiều dịch vụ thiết yếu của đất nước, đẩy chính phủ vào hỗn loạn khi phải đối mặt với tình hình khẩn cấp. Các quan chức cho biết thương mại quốc tế đã gián đoạn khi ransomware nắm giữ quyền kiểm soát và hơn 30,000 cuộc hẹn y tế đã phải được sắp xếp lại, trong khi thanh toán thuế cũng bị gián đoạn. Hàng triệu đô la đã bị mất do những cuộc tấn công này, và nhân viên tại các tổ chức bị ảnh hưởng đã phải dùng bút và giấy để hoàn thành công việc.

Chính phủ Costa Rica, thay đổi giữa cuộc tấn công sau cuộc bầu cử đầu năm nay, đã tuyên bố “tình trạng khẩn cấp quốc gia” để đối phó với ransomware—đánh dấu lần đầu tiên một quốc gia làm như vậy sau một cuộc tấn công mạng. Hai mươi bảy cơ quan chính phủ đã bị nhắm đến trong cuộc tấn công đầu tiên, diễn ra từ giữa tháng Tư đến đầu tháng Năm, theo tổng thống mới Rodrigo Chaves. Cuộc tấn công thứ hai, vào cuối tháng Năm, đã đẩy hệ thống chăm sóc sức khỏe của Costa Rica vào một vòng xoáy. Chaves đã tuyên bố “chiến tranh” với những người chịu trách nhiệm.

Ở trung tâm của chuỗi tấn công là Conti, băng nhóm ransomware liên quan đến Nga. Conti đã tuyên bố chịu trách nhiệm về cuộc tấn công đầu tiên vào chính phủ Costa Rica và được cho là có mối liên kết với hoạt động ransomware-as-a-service HIVE, là nguyên nhân của cuộc tấn công thứ hai ảnh hưởng đến hệ thống chăm sóc sức khỏe. Năm ngoái, Conti đã tống tiền hơn 180 triệu đô la từ nạn nhân của mình, và nó có lịch sử nhắm đến tổ chức chăm sóc sức khỏe. Tuy nhiên, vào tháng Hai, hàng ngàn tin nhắn và tệp tin nội bộ của nhóm đã được công bố trực tuyến sau khi họ ủng hộ cuộc chiến của Nga ở Ukraine.

Hơn nữa, các nhà nghiên cứu cho rằng hành động táo bạo của Conti có thể chỉ là sự phô trương tàn nhẫn, thực hiện để thu hút sự chú ý đến nhóm khi nó kết thúc thương hiệu độc hại và các thành viên chuyển sang những nỗ lực ransomware khác.

“Tình trạng khẩn cấp quốc gia”

Cuộc tấn công ransomware đầu tiên vào chính phủ Costa Rica bắt đầu trong tuần từ ngày 10 tháng 4. Suốt cả tuần, Conti thăm dò hệ thống của Bộ Tài chính, được biết đến với tên Ministerio de Hacienda, giải thích Jorge Mora, cựu Giám đốc Bộ Khoa học, Đổi mới, Công nghệ và Viễn thông (MICIT) người đã giúp dẫn dắt phản ứng trước các cuộc tấn công. Trước giờ sáng sớm ngày 18 tháng 4, các tệp trong bộ tài chính đã bị mã hóa và hai hệ thống chính đã bị tê liệt: dịch vụ thuế số và hệ thống IT để kiểm soát hải quan.

“Chúng ảnh hưởng đến tất cả các dịch vụ xuất nhập khẩu của đất nước về sản phẩm,” nói Mora, người rời bỏ chính phủ vào ngày 7 tháng 5 trước khi chính quyền thay đổi. Mario Robles, CEO và người sáng lập của công ty an ninh mạng Costa Rican White Jaguars, ước tính đã có “vài terabyte” dữ liệu và hơn 800 máy chủ tại bộ tài chính bị ảnh hưởng. Robles nói công ty của ông đã tham gia vào việc phản ứng lại các cuộc tấn công nhưng không thể nói tên ai đã làm việc với họ. (Bộ Tài chính không phản hồi đến yêu cầu ý kiến của MYTOUR.)

“Khu vực tư nhân bị ảnh hưởng rất nhiều,” Mora nói. Báo cáo địa phương cho biết doanh nghiệp nhập khẩu và xuất khẩu phải đối mặt với thiếu hụt container vận chuyển và ước tính tổn thất dao động từ 38 triệu đô la mỗi ngày lên đến 125 triệu đô la trong vòng 48 giờ. “Sự cản trở đã làm tê liệt việc nhập khẩu và xuất khẩu của đất nước, tạo ra ảnh hưởng lớn đối với thương mại,” nói Joey Milgram, quản lý quốc gia Costa Rica tại công ty an ninh mạng Soluciones Seguras. “Sau 10 ngày, họ triển khai một biểu mẫu nhập khẩu bằng tay, nhưng nó đòi hỏi nhiều giấy tờ và nhiều ngày để xử lý,” Milgram thêm.

Nhưng cuộc tấn công vào bộ tài chính chỉ là khởi đầu. Một bảng thời gian được chia sẻ bởi Mora cho biết Conti đã cố gắng xâm nhập vào các tổ chức chính phủ khác nhau gần như mỗi ngày từ ngày 18 tháng 4 đến ngày 2 tháng 5. Các cơ quan địa phương, như Đô thị Buenos Aires, bị mục tiêu, cũng như các tổ chức chính phủ trung ương, bao gồm Bộ Lao động và An sinh xã hội. Trong một số trường hợp, Conti đã thành công; trong những trường hợp khác, nó thất bại. Mora nói rằng Hoa Kỳ, Tây Ban Nha và các công ty tư nhân đã giúp phòng thủ chống lại các cuộc tấn công của Conti, cung cấp phần mềm và chỉ số của nhóm liên quan đến sự cố. “Điều đó đã chặn Conti rất nhiều,” ông nói. (Đầu tháng 5, Hoa Kỳ đăng một phần thưởng 10 triệu đô la cho thông tin về lãnh đạo của Conti.)

Ngày 8 tháng 5, Chaves bắt đầu nhiệm kỳ tổng thống của mình và ngay lập tức tuyên bố “tình trạng khẩn cấp quốc gia” do các cuộc tấn công ransomware, gọi những kẻ tấn công là “kẻ khủng bố mạng.” Chaves nói vào ngày 16 tháng 5 rằng trong số 27 cơ quan bị mục tiêu, có 9 cơ quan bị “ảnh hưởng rất nhiều.” MICIT, đang giám sát phản ứng trước các cuộc tấn công, không phản hồi lại câu hỏi về tiến triển của quá trình phục hồi, mặc dù ban đầu đã đề xuất thiết lập một cuộc phỏng vấn.

“Tất cả các tổ chức quốc gia, họ không có đủ tài nguyên,” Robles nói. Trong quá trình phục hồi, ông nói, ông đã thấy các tổ chức sử dụng phần mềm kế thừa, làm cho việc kích hoạt các dịch vụ mà họ cung cấp trở nên khó khăn hơn. Robles nói một số tổ chức, “thậm chí không có người làm về an ninh mạng.” Mora thêm rằng các cuộc tấn công cho thấy các quốc gia Latin America cần cải thiện khả năng chống lại cyber, áp dụng luật để báo cáo vụ tấn công mạng là bắt buộc và cấp thêm nguồn lực để bảo vệ các cơ quan công cộng.

Nhưng ngay khi Costa Rica bắt đầu kiểm soát được cuộc tấn công của Conti, một đòn chí mạng khác đã đánh đổ. Vào ngày 31 tháng 5, cuộc tấn công thứ hai bắt đầu. Hệ thống của Quỹ An sinh Xã hội Costa Rica (CCSS), tổ chức chăm sóc sức khỏe, đã bị tắt, đưa đất nước vào một loại hỗn loạn mới. Lần này, ransomware HIVE, có một số liên kết với Conti, được đặt tên là nguyên nhân.

Cuộc tấn công có tác động ngay lập tức đến cuộc sống của mọi người. Hệ thống chăm sóc sức khỏe tắt và máy in phát ra rác rưởi, như báo cáo đầu tiên của nhà báo an ninh Brian Krebs. Kể từ đó, bệnh nhân đã phàn nàn về việc trì hoãn điều trị và CCSS đã cảnh báo phụ huynh có con đang phẫu thuật rằng họ có thể gặp khó khăn trong việc xác định vị trí của con. Dịch vụ y tế cũng đã bắt đầu in các biểu mẫu giấy bị ngưng sử dụng.

Đến ngày 3 tháng 6, CCSS đã tuyên bố “tình trạng khẩn cấp tổ chức,” với các báo cáo địa phương cho biết 759 trong số 1.500 máy chủ và 10.400 máy tính đã bị ảnh hưởng. Người phát ngôn của CCSS nói rằng các dịch vụ bệnh viện và khẩn cấp đang hoạt động bình thường và nỗ lực của nhân viên đã duy trì chăm sóc. Tuy nhiên, những người tìm kiếm chăm sóc y tế đã phải đối mặt với những đợt gián đoạn đáng kể: có 34.677 cuộc hẹn đã được lên lịch lại, tính đến ngày 6 tháng 6. (Con số này chiếm 7% tổng số cuộc hẹn; CCSS nói rằng 484.215 cuộc hẹn đã được tiến hành.) Hình ảnh y tế, nhà thuốc, phòng thí nghiệm kiểm nghiệm và phòng mổ đều đang phải đối mặt với một số gián đoạn.

Có những câu hỏi về việc liệu hai cuộc tấn công ransomware độc lập vào Costa Rica có liên quan đến nhau không. Tuy nhiên, chúng đến trong bối cảnh khuôn mặt của ransomware có thể đang thay đổi. Trong những tuần gần đây, các băng ransomware có liên quan đến Nga đã thay đổi chiến thuật để tránh trừng phạt của Mỹ và đang tranh giành lãnh thổ của họ nhiều hơn bình thường.

Conti đầu tiên công bố cuộc tấn công vào bộ tài chính trên blog của mình, nơi nó công bố tên của những người bị hại và, nếu họ không thanh toán tiền chuộc, các tệp nó đã đánh cắp từ họ. Một người hoặc nhóm tự gọi mình là unc1756—viết tắt “UNC” được một số công ty an ninh sử dụng để chỉ đến những kẻ tấn công “không phân loại”—sử dụng blog để chịu trách nhiệm cho cuộc tấn công. Người tấn công đòi 10 triệu đô la làm tiền chuộc, sau đó tăng con số lên 20 triệu đô la. Khi không có thanh toán, họ bắt đầu tải lên 672 GB tệp lên trang web của Conti.

Tuy nhiên, hành vi của Conti trở nên không ổn định và đáng lo ngại hơn bình thường—kẻ tấn công chuyển sang chính trị. “Tôi kêu gọi mọi cư dân Costa Rica, hãy đến chính phủ và tổ chức các cuộc biểu tình,” một bài viết trên blog của Conti nói. “Chúng tôi quyết tâm lật đổ chính phủ bằng một cuộc tấn công mạng,” một bài viết khác gửi đến Costa Rica và “kẻ khủng bố Hoa Kỳ (Biden và chính quyền của ông).”

“Tôi nghĩ tôi chưa bao giờ thấy tội phạm mạng sử dụng, ít nhất là công khai, lời lẽ như vậy chống lại bất kỳ chính phủ nào,” nói Sergey Shykevich, quản lý nhóm Threat Intelligence tại công ty an ninh Check Point, người cũng chú ý rằng Conti đã tấn công Bộ Tài chính và cơ quan tình báo của Peru vào khoảng thời gian tương tự như cuộc tấn công vào Costa Rica. Shykevich nói hành vi của Conti đã bị chỉ trích trên các diễn đàn hacking tiếng Nga, vì tham gia vào chính trị sẽ thu hút sự chú ý hơn đối với các nhóm tội phạm mạng.

Một số người tin rằng cuộc tấn công của Conti vào Costa Rica có thể đã được thiết kế như một chi afiê làm phiền. Vào ngày 19 tháng 5, công ty an ninh mạng AdvIntel đặt Conti vào tình trạng chết, nói rằng nhóm đã bắt đầu phá vỡ thương hiệu của mình—nhưng không phải tổ chức tổ chức tổ chức cơ sở hạ tầng tổng thể—vào đầu tháng 5. Trích dẫn từ thông tin bên trong nhóm, AdvIntel nói rằng bảng quản trị của trang web tin tức Conti đã bị tắt. “Trang web dịch vụ đàm phán cũng đã đóng cửa, trong khi phần còn lại của cơ sở hạ tầng, từ phòng chat đến messenger, và từ máy chủ đến máy chủ proxy, đều đang trải qua một sự đặt lại lớn,” AdvIntel nói trong một cuộc họp.

Kể từ khi Conti bày tỏ sự ủng hộ cho chiến tranh của Vladimir Putin ở Ukraine và đe dọa hack bất kỳ ai tấn công Nga, nhóm đã gặp khó khăn trong việc kiếm tiền. “Bây giờ đối với họ, việc đòi tiền từ những nạn nhân ở Mỹ trở nên khó khăn hơn nhiều,” Callow nói. “Một số công ty đàm phán sẽ không giao dịch với họ vì lo sợ vi phạm lệnh trừng phạt OFAC, và một số công ty cũng không nhất thiết muốn giao dịch với họ vì họ không muốn được coi là có thể tài trợ cho khủng bố.” ADVIntel đi xa hơn, nói rằng Conti không thể “hỗ trợ và thu được tiền chuộc đủ,” thúc đẩy nhóm phản công.

Một số tuần sau đó, CEO AdvIntel Vitali Kremez nói rằng dịch vụ của Conti vẫn nằm ngoài tuyến. Cuộc tấn công vào Costa Rica, ít nhất trong mắt của AdVIntel, được thiết kế để mang lại bảo vệ cho Conti trong khi nó tiếp tục tái thương hiệu và bắt đầu sử dụng các loại ransomware khác nhau. Tuy nhiên, hành động công khai cuối cùng của Conti có thể để lại dấu ấn. Mặc dù tội phạm mạng có thể không chọn lựa tấn công chính phủ quốc gia một cách thường xuyên, một tiền lệ mới đã được tạo ra. “Conti đã đặt dấu ấn của họ vào một thời đại mới trong ransomware,” Shykevich của Check Point nói. “Họ chứng minh và cho thấy một nhóm tội phạm mạng có thể thực hiện tống tiền quốc gia.”