在过去两个月,哥斯达黎加一直身处困境,两波重大的勒索软件攻击使该国多项基本服务陷入瘫痪,政府陷入混乱,无法做出有效响应。
这可能是迄今为止最严重的勒索软件事件。哥政府官员表示,在勒索软件侵扰下,该国国际贸易陷入停顿状态;超过3万次医疗预约被迫重新安排;税务服务也被迫中断。数以百万计的哥斯达黎加人因勒索攻击而损失惨重,受影响机构的工作人员只能转用纸笔来完成工作。
哥斯达黎加总统罗德里戈·查韦斯·罗伯斯(Rodrigo Chaves Robles)在就职当日(5月8日)签署了紧急状态法令,宣布哥斯达黎加遭受网络犯罪和网络恐怖分子的侵扰,国家进入“网络安全紧急状态”。根据报道,从4月中旬到5月初,27个政府机构成为第一波攻击活动的目标;5月底的第二波攻击又使哥斯达黎加的医疗保健系统陷入了漩涡。作为应对,哥斯达黎加总统向勒索软件攻击背后的负责人“宣战”。“我们处于战争状态,这并不夸张。这是一场针对国际恐怖组织的战争。”
据悉,此次攻击狂潮的核心力量是与俄罗斯有关的勒索软件组织Conti。Conti也承认对第一波攻击负责,但研究人员认为,第二波攻击背后的勒索软件即服务操作HIVE也与之存在联系。
2021年,Conti依靠勒索收入超过1.8亿美元,并有攻击医疗保健组织的历史。然而,在该组织宣布支持俄罗斯对乌克兰的战争后,属于该组织的数千条内部消息和文件惨遭泄露。
在Conti的1000多次勒索软件攻击中,针对哥斯达黎加的攻击尤为突出。它标志着勒索软件组织首次明确针对国家政府开展行动。在此过程中,Conti甚至呼吁推翻哥斯达黎加政府。Emsisoft威胁分析师布雷特•卡洛(Brett Callow)表示,“这可能是迄今为止最严重的勒索软件事件。此前没有要求联邦政府支付赎金的情况,这无疑是第一次,是前所未有的。”
更重要的是,研究人员认为Conti厚颜无耻的行为可能只是冷酷无情的炫耀行为,其目的是在该组织逐渐落幕,其成员转向其他勒索软件工作时,最后一次吸引公众的广泛关注。
国家紧急状态
第一波针对哥斯达黎加政府的勒索软件攻击始于4月10日。协助应对攻击活动的该国科学创新技术与通信部(MICIT)前负责人Jorge Mora介绍,这一个星期,Conti都在研究财政部的系统。4月18日凌晨,财政部内部文件已被加密,两个关键系统瘫痪——数字税务服务和海关控制IT系,严重影响了的所有进出口服务。
哥斯达黎加网络安全企业White Jaguars公司CEO兼创始人Mario Robles估计,财政部的数TB数据和800多台服务器均受到影响。
除此之外,私营部门也受到了很大的影响。当地报道称,进出口企业面临集装箱短缺问题,损失估计从每天3800万美元到48小时内的1.25亿美元不等。
网络安全企业Soluciones Seguras公司驻哥斯达黎加负责人称,“系统中断使该国的进出口陷入瘫痪,对商业造成了重大冲击。10天后,受影响组织的工作人员只能通过手动导入表格来工作,但大量文书工作非常低效耗时。”
针对财务部的攻击仅仅是个开始。根据Mora分享的时间表显示,在4月18日至5月2日期间,Conti几乎每天都会试图入侵不同的政府组织。布宜诺斯艾利斯市等市政当局,以及劳动和社会保障部在内的中央政府组织都沦为攻击目标。不过,Conti的攻击活动并非总是成功的。美国、西班牙以及一些私营公司帮助防御了Conti的部分攻击,并提供了与该组织相关的软件和IOC情报,给Conti攻击带来了很大阻力。值得一提的是,5月初,美国悬赏1000万美元要求提供有关Conti领导层的信息。
5月8日,哥新总统正式开启为期四年的任期,并立即宣布由于勒索软件攻击而进入“国家紧急状态”,并称攻击者为“网络恐怖分子”。5月16日,哥总统表示,第一轮攻击中涉及的27家目标机构中有9家受到严重影响。负责监督攻击响应活动的MICIT暂未回答有关恢复进展的问题。
White Jaguars公司的Robles称,“所有的国家机构都没有足够的资源来响应攻击和完成恢复。在恢复过程中,我们发现这些机构几乎都在遗留软件上运行,这也加剧了重启服务的困难度。更糟糕的是,有些机构甚至无人从事网络安全工作。”
MICIT前负责人Mora补充道,这些攻击表明拉丁美洲国家需要提高其网络安全弹性,制定法律强制网络攻击报告,并分配更多资源来保护公共机构。
但就在哥斯达黎加开始逐步掌控局面时,又一次惨遭重创。5月31日,第二波攻击开始。负责组织医疗保健的哥斯达黎加社会保障基金(CCSS)系统下线,该国再次陷入新的混乱。这一次,与Conti存在一些联系的HIVE勒索软件成为幕后黑手。
这次攻击对人们的生活产生了直接影响。医疗保健系统离线,打印机吐出垃圾。自此以后,患者抱怨治疗延误;CCSS警告,因攻击无法查看等待手术的孩子信息;卫生服务部门也开始打印绝迹很久的纸质表格。
到6月3日,CCSS宣布进入“机构紧急状态”。根据报道,1,500台服务器中的759台和10,400台计算机受到影响。CCSS的发言人表示,医院和紧急服务现在正常运行,其工作人员一直在努力维持基础护理。然而,寻求医疗服务的人却遭遇严重的服务中断:截至6月6日,已重新安排了34,677次预约(这个数字仅占总预约的7%;总预约数高达484,215 次)。医学影像、药房、检测实验室和手术室一团混乱。
国家勒索时代
研究人员认为,Conti组织对哥斯达黎加的攻击行动,是因为该国站在了乌克兰的一边。但专家指出,所有的迹象都指向了金钱。
Emsisoft 公司勒索软件和威胁分析专家布雷特•卡洛认为,“没有理由相信对哥斯达黎加的勒索攻击还有经济之外的动机。” Check Point公司研究副总裁玛雅·霍洛维茨(Maya Horowitz )表示,根据研究,Conti 的勒索计划“非常有针对性,并且索要赎金也基于受害者的支付能力”。
哥国总统查韦斯将这次袭击归咎于其前任没有在网络安全上有足够投资。目前尚不清楚哥斯达黎加究竟采取了哪些措施来阻止网络攻击,但该国数字治理主管豪尔赫·莫拉表示,由于部署了跨机构的“保护系统”,已经阻止了 400 万次黑客攻击。
但网络安全专家分析,更有可能的是,哥斯达黎加只是不走运,它只是成为广泛行动的一部分目标,而并非由于任何明显的漏洞。
Synopsys Software软件安全顾问 杰米·贝尔(Jamie Boote)表示:“这种情况反映出攻击和防御的不对称现实。只需要幸运一次,攻击者就可以成功攻击。如果1%的攻击目标可以支付数百万赎金,对数百个目标开展攻击就是值得的。”
卡洛补充说,Conti也有可能将哥斯达黎加作为攻击目标,因为美国和欧洲执法部门较为成功地扰乱了其攻击行动。
“针对哥斯达黎加、秘鲁等国家的攻击,他们可能不会赚到太多钱,但他们也不希望自己成为数百万美元的悬赏目标或让美国网军出现在自己的服务器里。收益越少,风险越小。至少他们可能这么认为。”
但有安全研究者认为,针对哥斯达黎加政府的攻击,远远超出了纯粹出于经济动机的范围,已演化成为地缘政治事件。哥斯达黎加政府宣布国家进入紧急状态,同时与Conti进入战争状态。一个国家宣布与网络犯罪集团交战,这是前所未有的情况。
网络攻击迅速升级,演变成广泛的地缘政治事件。最终导致美国政府进行干预,并向哥斯达黎加政府提供支持。一方面,哥斯达黎加要求美国提供支持,美国国务院悬赏1000 万美元,以获得Conti组织领导人员的信息。另一方面,Conti组织针对哥斯达黎加勒索的言论,开始涉及美国政府及拜登总统,而不仅仅是哥斯达黎加人民与政府。
这种针对哥斯达黎加整个国家的勒索攻击,意味着我们已经进入“国家勒索” 的新勒索软件时代,它完全不同于过去针对政府机构的勒索攻击——大多是针对地方市政机构的战术攻击,而不是针对关键政府服务的广泛攻击。
Conti组织对哥斯达黎加的“国家勒索”具有以下三个特点:
网络犯罪集团对国家的大量政府实体进行协同攻击,导致海关、货物进出口等关键服务中断。
“三重勒索” ——网络犯罪分子通过哥斯达黎加人民向政府施压,以促使政府支付赎金。
干预国家政治——Conti组织声称其目标是推翻民选政府,并鼓励哥斯达黎加人走上街头抗议政府。
Conti消亡
针对哥斯达黎加的两次勒索软件攻击是否有关联尚存疑问。然而,它们的出现可能预示着勒索软件的面貌正在发生变化。最近,与俄罗斯有关的勒索软件团伙已经改变了策略,以避免受到美国政府的制裁,并比平时更激烈地争夺自己的领地。
Conti率先在博客上宣布了对哥斯达黎加财政部的攻击,并公布了受害者的姓名。声称如果不支付赎金,还会进一步公布窃取的文件。自称为unc1756(安全公司一般使用“UNC”缩写来表示“未分类”的攻击者)的攻击者或团体也声称对这次攻击负责。攻击者要求支付1000万美元作为赎金,后又将这个数字提高到2000万美元。因未收到付款,又将672 GB的文件上传到Conti的网站。
Conti的行为比平时更加古怪和令人不安——攻击者开始涉足政治。Conti在博文中宣称,“呼吁哥斯达黎加的每一位居民,到政府机构和组织那里集会。”在另一篇发给哥斯达黎加和“美国恐怖分子(拜登及其政府)”的帖子中,Conti还宣称,“我们决心通过网络攻击推翻哥斯达黎加政府。”
安全公司Check Point的威胁情报部门负责人Sergey Shykevich表示,“此前从未见过网络犯罪分子在公开场合发表这种针对政府的言论。在攻击哥斯达黎加的同时,Conti还瞄准了秘鲁财务部和情报机构。不过,他们的行为在俄语黑客论坛遭到了舆论谴责,因为涉足政治会引发各国政府对网络犯罪组织的更多关注。”
一些人认为,Conti对哥斯达黎加的进攻可能是为了分散注意力。5月19日,网络安全公司AdvIntel宣布,Conti的运营已终止,并称该集团已于5月初开始拆除其品牌,但尚未解散组织结构。AdvIntel在简报中称,“Conti新闻网站的管理小组已被关闭。谈判服务网站也出现故障,而其他基础设施——从聊天室到即时通讯,从服务器到代理主机——都在经历大规模重置。”
自从Conti表示支持俄罗斯对乌克兰的战争,并威胁要攻击任何针对俄罗斯的机构后,它的运营便举步维艰。卡洛解释称,“Conti现在再想从美国攻击受害者获得赎金变得更加困难。由于担心违反OFAC制裁(即Office of Foreign Assets Control, 海外资产控制办公室,简称“OFAC”),一些企业将不再与Conti进行交易,也不愿与Conti打交道,因为不希望被视为支持恐怖主义。”
ADVIntel认为,Conti无法得到充分支持并获取勒索赎金,加速了该组织的灭亡。如今,Conti的服务仍处于离线状态。针对哥斯达黎加的攻击看起来更像是为Conti打掩护,掩盖其正在重塑品牌并开始使用不同类型的勒索软件的真相。
无论如何,Conti最后一次鲁莽的公开行动可能会产生深远影响。网络犯罪分子可能不会定期攻击国家政府,但Conti的行为无疑开启了勒索软件新时代,他们向世界证明:网络犯罪集团可以对国家进行勒索!有组织网络犯罪集团日益增长的力量,也让人感觉并非遭遇了一场勒索攻击,而是陷入了一场勒索战争。
原文链接:
https://www.wired.com/story/costa-rica-ransomware-conti/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
