الهجوم الإلكتروني على حكومة كوستاريكا 2022

الهجوم الالكتروني على حكومة كوستاريكا

في يومه الأول، أعلن رئيس كوستاريكا رودريغو تشافيس حالة طوارئ وطنية بسبب حملة Conti ransomware المستمرة ضد العديد من الكيانات الحكومية في كوستاريكا بدءًا من أبريل من هذا العام.

تعد عملية Conti عملية غزيرة لبرامج الفدية كخدمة تعمل على إصابة الأنظمة وإتلافها منذ أن لوحظت لأول مرة في عام 2020.

يُنسب إلى مجموعة التهديد المسماة WizardSpider بواسطة CrowdStrike في عام 2019.

المجموعة معروفة أيضًا بـ TrickBot و Ryuk ransomware الموزعة من خلال ZLoader botnet والتي أبلغنا عنها سابقًا على أنها إيقاف تشغيل بواسطة Microsoft.

تبنت مجموعة كونتي الموالية لروسيا المجموعة الأولى من الهجمات وطالبت بمبلغ 10 دولارات أمريكية مليون فدية مقابل عدم نشر المعلومات المسروقة من وزارة المالية، والتي يمكن أن تشمل معلومات حساسة مثل الإقرارات الضريبية للمواطنين والشركات العاملة في كوستاريكا. [1] [2] [3]

طلبت كوستاريكا مساعدة فنية من الولايات المتحدة وإسرائيل وإسبانيا ومايكروسوفت، من بين آخرين، للتعامل مع الهجوم السيبراني. يتألف الهجوم من إصابات لأنظمة الكمبيوتر ببرامج الفدية وتشويه صفحات الويب وسرقة ملفات البريد الإلكتروني والهجمات على بوابة الموارد البشرية للضمان الاجتماعي وكذلك على حسابها الرسمي على تويتر . [4] [5]

خلفيه عن المجموعة

مجموعة كونتي

مجموعة كونتي هي منظمة إجرامية مكرسة لتنفيذ هجمات برامج الفدية وسرقة الملفات والوثائق من الخوادم ثم المطالبة بفدية. تتمثل طريقة عملها في إصابة أجهزة الكمبيوتر ببرامج Conti الضارة، والتي تعمل بما يصل إلى 32 سلسلة منطقية فردية، مما يجعلها أسرع بكثير من معظم الفيروسات من نوعها. [6]

أماكن وقوع الحادثه

• الهيئة الإدارية للخدمة الكهربائية لمحافظة كارتاجو (جاسك).

• وزارة العلوم والابتكار

• التكنولوجيا والاتصالات

• وزارة العمل والضمان الاجتماعي (MTSS)

• المعهد الوطني للأرصاد الجوية (IMN)

• Costarricense التصوير الشعاعي (Racsa)

• المقر المشترك بين الجامعات في ألاخويلا

• صندوق التنمية الاجتماعية والبدلات الأسرية (FODESAF)

• صندوق الضمان الاجتماعي الكوستاريكي (CCSS).

الهجمات

هجوم مجموعة كونتي

كانت خوادم وزارة المالية هي الأولى التي تم اختراقها ليلة الأحد ، 17 أبريل. قامت مجموعة كونتي باختراق بيانات الاعتماد، مما سمح لها بتثبيت برامج ضارة على جهاز واحد في شبكة وزارة المالية. [7] كان حساب BetterCyber Twitter أول من يكرر، في اليوم التالي، المنشور على منتدى Conti Group الذي أبلغ عن اختراق مؤسسة حكومية، مما يشير إلى سرقة 1 تيرابايت من المعلومات من منصة إدارة الضرائب الافتراضية (ATV) ، المستخدمة من قبل الحكومة للمواطنين والشركات لتقديم إقراراتهم الضريبية. بدوره، أشار المنشور إلى أن البيانات ستبدأ في النشر في 23 أبريل [8]

في 20 أبريل، نشر كونتي 5 غيغابايت إضافية من المعلومات المسروقة من وزارة المالية. [9] في فترة ما بعد الظهر، دعت الحكومة إلى مؤتمر صحفي في البيت الرئاسي حيث قالت إن الوضع تحت السيطرة وأنه بالإضافة إلى وزارة الخزانة و MICITT و IMN ، Radiografía Costarricense S.A. (RACSA) ، مزود خدمة الإنترنت الحكومي، قد تعرض للهجوم من خلال اختراق خادم البريد الإلكتروني الداخلي. [10] [11] في غضون ذلك، أفاد صندوق الضمان الاجتماعي في كوستاريكا أنه تعرض لهجوم إلكتروني على موقع الموارد البشرية الخاص به، والذي كان قيد مكافحته. [12] [13] لم تعلن مجموعة كونتي مسؤوليتها عن الهجوم، حيث أفاد الصندوق بعد ساعات بأنه لم يتم سرقة أي معلومات حساسة من المؤمن عليهم، مثل تاريخهم الطبي أو مساهماتهم في المعاش التقاعدي أو التأمين الصحي، وأن قواعد البيانات قد تُركت كما هي. [14]

أدلى الرئيس كارلوس ألفارادو كيسادا بأول تصريح علني له عن الاختراق في ذلك اليوم. [15]  أكرر أن دولة كوستاريكا لن تدفع أي شيء لهؤلاء المجرمين الإلكترونيين. لكن رأيي أن هذا الهجوم ليس مسألة أموال، وإنما يسعى لتهديد استقرار البلاد في ظل حالة انتقالية. هذا لن يفعلوا. كما فعلنا دائمًا، سيقوم كل شخص على هذه الأرض بدوره للدفاع عن كوستاريكا.

- كارلوس الفارادو كويسادا

الاجراءات المتخذة

رفضت حكومة كوستاريكا دفع الفدية، وتم تسريب جميع بياناتهم، ولم يتم استرداد أي منها، وحتى يومنا هذا لا يوجد مبلغ محدد لما تم تسريبه.

إعلان حالة الطوارئ

في 22 أبريل، أعلن الرئيس المنتخب لكوستاريكا آنذاك، رودريغو تشافيس روبلز، عزمه إعلان حالة الطوارئ الوطنية بمجرد توليه السلطة بسبب الهجمات الإلكترونية ضد القطاع العام في البلاد. [16]

في 8 مايو، عند توليه السلطة، وقع تشافيس روبلز على المرسوم التنفيذي رقم 43542-MP-MICITT ، الذي أعلن حالة الطوارئ الوطنية بسبب الهجمات الإلكترونية ضد القطاع العام في كوستاريكا وأمر رئاسة الجمهورية للسيطرة على التنسيق. للاستجابة الوطنية، بدلاً من National Emergency Commission (Costa Rica) ، والتي بموجب القانون تدير حالات الطوارئ الوطنية المعلنة. [17]

التأثير

تشير تقارير BleepingComputer إلى أنه اعتبارًا من 9 مايو، قامت شركة Conti بتسريب أكثر من 97٪ من مخزون بيانات 672 جيجا بايت والذي يُزعم أنه يحتوي على معلومات مسروقة من الوكالات الحكومية.

لدى Conti القدرة على عمل نسخ من أي بيانات مشفرة واستخراجها، والتي يمكن أن تحول حملة فدية إلى محاولة ابتزاز حتى بعد استعادة الملفات المشفرة.

اهم الخسائر: 

 - فقدان بالبيانات

 - خسارة مالية

   - الإضرار بالسمعة

الدلائل على الحادثة

إعلان حكومة كوستاريكا عن الموضوع، والمقالات الإخبارية حوله والتغيير الهائل في نظام كوستاريكا، مما أثر على تحول الشبكات عبر الإنترنت إلى العمل اليدوي.

ما ينصح به لتفادي مثل هذه الهجمات

1. تحدبث البرامج

2. استخدم كلمات مرور قوية

3. النسخ الاحتياطي لبياناتك

4. كن حذرا مع البريد الإلكتروني

5. احذر من التصيد الاحتيالي

6. تحديد امتيازات المستخدمين

7. توعية الموظفين

المراجع

  1. ^ "Gobierno confirma que 'Conti' exige $10 millones de "rescate"". Teletica. 20 أبريل 2022. مؤرشف من الأصل في 2022-05-14. اطلع عليه بتاريخ 2022-06-07.
  2. ^ ""En la dark web sí se realizó una publicación que pide $10 millones de, aparentemente, Conti Group"". delfino.cr (بالإسبانية). Archived from the original on 2022-04-21. Retrieved 2022-06-07.
  3. ^ "Conti amenaza con revelar datos internos de Hacienda y base de contribuyentes". CRHoy.com (بالإسبانية). Archived from the original on 2022-06-09. Retrieved 2022-06-07.
  4. ^ Hidalgo, Kristin. "Vulneran cuenta de Twitter de la CCSS y publican contenido ajeno a la institución". ameliarueda.com (بالإسبانية). Archived from the original on 2022-04-19. Retrieved 2022-06-07.
  5. ^ "¡Atacan de nuevo! Hackean cuenta de Twitter de la CCSS". CRHoy.com (بالإسبانية). Archived from the original on 2022-04-19. Retrieved 2022-06-07.
  6. ^ "Conti Ransomware". NHS Digital (بالإنجليزية). Archived from the original on 2022-05-24. Retrieved 2022-06-07.
  7. ^ "How Conti ransomware hacked and encrypted the Costa Rican government". BleepingComputer (بالإنجليزية الأمريكية). Archived from the original on 2023-08-04. Retrieved 2023-07-25.
  8. ^ "BetterCyber on Twitter: "#Conti claims to have hacked Ministerio de Hacienda, a government ministry in Costa Rica 🇨🇷... #Ransomware #RansomwareGroup #ContiLeaks…". Twitter (بالإنجليزية). Archived from the original on 2022-05-20. Retrieved 2022-06-07.
  9. ^ "BetterCyber Twitter'da: "🚨 #Conti publishes an additional ~5 GB of data allegedly belonging to the Ministerio de Hacienda of Costa Rica 🇨🇷... #Ransomware #RansomwareGroup #ContiLeaks…". مؤرشف من الأصل في 2022-04-21. اطلع عليه بتاريخ 2022-06-08.
  10. ^ "Más instituciones bajo ataque de Conti, que aumenta presión a un gobierno con débil respuesta". El Financiero (بالإسبانية). Archived from the original on 2022-05-02. Retrieved 2022-06-08.
  11. ^ "Director de Gobernanza digital señala a Conti y afirma que hackeo está "bajo control"". CRHoy.com (بالإسبانية). Archived from the original on 2022-04-20. Retrieved 2022-06-08.
  12. ^ "Portal de Recursos Humanos de la CCSS es la nueva víctima del ataque de hackers". www.larepublica.net (بالإسبانية). Archived from the original on 2022-05-14. Retrieved 2022-06-08.
  13. ^ "Hackeo: CCSS enciende alerta ante posibles efectos en sus servicios esenciales". La Nación (بالإسبانية). Archived from the original on 2022-06-02. Retrieved 2022-06-08.
  14. ^ "CCSS sobre 'hackeo': 'No se extrajo información sensible' ni se afectó EDUS o Sicere". La Nación (بالإسبانية). Archived from the original on 2022-05-16. Retrieved 2022-06-08.
  15. ^ "Alvarado: "Este ciberataque busca amenazar la estabilidad del país en una coyuntura de transición"". delfino.cr (بالإسبانية). Archived from the original on 2022-04-22. Retrieved 2022-06-08.
  16. ^ "Rodrigo Chaves sobre ciberataques: "Estamos preparando un decreto de emergencia nacional"". delfino.cr (بالإسبانية). Archived from the original on 2022-05-31. Retrieved 2022-06-08.
  17. ^ "Sistema Costarricense de Información Jurídica". www.pgrweb.go.cr. مؤرشف من الأصل في 2022-05-12. اطلع عليه بتاريخ 2022-06-08.