WASHINGTON – Un cartel de piratage russe a mené une cyberattaque extraordinaire contre le gouvernement du Costa Rica, paralysant les systèmes de collecte des impôts et d’exportation pendant plus d’un mois jusqu’à présent et forçant le pays à déclarer l’état d’urgence.
Le gang de rançongiciels Conti, basé en Russie, a revendiqué l’attaque, qui a débuté le 12 avril, et a menacé de divulguer les informations volées à moins qu’il ne soit payé 20 millions de dollars. Les experts qui suivent les mouvements de Conti ont déclaré que le groupe avait récemment commencé à déplacer son attention des États-Unis et de l’Europe vers les pays d’Amérique centrale et du Sud, peut-être pour exercer des représailles contre les nations qui ont soutenu l’Ukraine.
Certains experts pensent également que Conti craignait une répression de la part des États-Unis et cherchait de nouvelles cibles, quelle que soit la politique. Le groupe est responsable de plus de 1 000 attaques de ransomwares dans le monde qui ont généré des revenus de plus de 150 millions de dollars, selon les estimations du Federal Bureau of Investigation.
« Les cartels de rançongiciels ont découvert que les multinationales aux États-Unis et en Europe occidentale sont moins susceptibles de clignoter si elles doivent payer une somme impie pour faire fonctionner leur entreprise », a déclaré Juan Andres Guerrero-Saade, chercheur principal sur les menaces chez SentinelOne. « Mais à un moment donné, vous allez exploiter cet espace. »
Quelle que soit la raison du changement, le piratage a montré que Conti agissait toujours de manière agressive malgré les spéculations selon lesquelles le gang pourrait se dissoudre après avoir été la cible d’une opération de piratage au début de la guerre de la Russie contre l’Ukraine. Le groupe criminel, qui a promis son soutien à la Russie après l’invasion, cible régulièrement les entreprises et les agences gouvernementales locales en s’introduisant dans leurs systèmes, en cryptant les données et en exigeant une rançon pour les restaurer.
À propos du piratage au Costa Rica, Brett Callow, analyste des menaces chez Emsisoft, a déclaré qu ‘ »il s’agit probablement de l’attaque de ransomware la plus importante à ce jour ».
« C’est la première fois que je me souviens d’une attaque de ransomware entraînant la déclaration d’une urgence nationale », a-t-il déclaré.
Le Costa Rica a déclaré qu’il refusait de payer la rançon.
La campagne de piratage a eu lieu après les élections présidentielles du Costa Rica et est rapidement devenue un gourdin politique. L’administration précédente a minimisé l’importance de l’attaque dans ses premiers communiqués de presse officiels, la décrivant comme un problème technique et projetant une image de stabilité et de calme. Mais le président nouvellement élu, Rodrigo Chaves, a commencé son mandat en déclarant une urgence nationale.
« Nous sommes en guerre », a déclaré M. Chaves lors d’une conférence de presse lundi. Il a déclaré que 27 institutions gouvernementales avaient été touchées par l’attaque du rançongiciel, dont neuf de manière significative.
L’attaque a commencé le 12 avril, selon l’administration de M. Chaves, lorsque des pirates qui se disaient affiliés à Conti ont fait irruption au ministère des Finances du Costa Rica, qui supervise le système fiscal du pays. À partir de là, le ransomware s’est propagé à d’autres agences qui supervisent la technologie et les télécommunications, a déclaré le gouvernement ce mois-ci.
Deux anciens fonctionnaires du ministère des Finances, qui n’étaient pas autorisés à s’exprimer publiquement, ont déclaré que les pirates avaient pu accéder aux informations des contribuables et interrompre le processus de collecte des impôts du Costa Rica, obligeant l’agence à fermer certaines bases de données et à recourir à un système vieux de près de 15 ans pour stocker les revenus de ses plus gros contribuables. Une grande partie des recettes fiscales du pays provient d’un bassin relativement restreint d’environ un millier de grands contribuables, ce qui permet au Costa Rica de continuer à percevoir les impôts.
Le pays dépend également des exportations et la cyberattaque a contraint les agents des douanes à faire leur travail uniquement sur papier. Alors que l’enquête et le recouvrement sont en cours, les contribuables du Costa Rica sont obligés de déposer leurs déclarations fiscales en personne auprès des institutions financières plutôt que de recourir aux services en ligne.
M. Chaves est un ancien responsable de la Banque mondiale et ministre des Finances qui a promis de bousculer le système politique. Son gouvernement a déclaré l’état d’urgence ce mois-ci en réponse à la cyberattaque, la qualifiant de « sans précédent dans le pays ».
« Nous sommes confrontés à une situation de catastrophe inévitable, de calamité publique et d’agitation interne et anormale qui, sans mesures extraordinaires, ne peut être contrôlée par le gouvernement », a déclaré l’administration de M. Chaves dans sa déclaration d’urgence.
L’état d’urgence permet aux agences d’agir plus rapidement pour remédier à la violation, a déclaré le gouvernement. Mais les chercheurs en cybersécurité ont déclaré qu’une récupération partielle pourrait prendre des mois et que le gouvernement pourrait ne jamais récupérer complètement ses données. Le gouvernement peut avoir des sauvegardes de certaines de ses informations sur les contribuables, mais il faudrait un certain temps pour que ces sauvegardes soient mises en ligne, et le gouvernement devrait d’abord s’assurer qu’il a supprimé l’accès de Conti à ses systèmes, ont déclaré des chercheurs.
Guerre russo-ukrainienne : principaux développements
Le paiement de la rançon ne garantirait pas une récupération car Conti et d’autres groupes de rançongiciels sont connus pour retenir des données même après avoir reçu un paiement.
« À moins qu’ils ne paient la rançon, ce qu’ils ont déclaré n’avoir aucune intention de faire, ou qu’ils n’aient des sauvegardes qui leur permettront de récupérer leurs données, ils envisagent potentiellement une perte de données totale et permanente », a déclaré M. Callow.
Lorsque le Costa Rica a refusé de payer la rançon, Conti a commencé à menacer de divulguer ses données en ligne, en publiant certains fichiers qui, selon lui, contenaient des informations volées.
« Il est impossible de regarder les décisions de l’administration du président du Costa Rica sans ironie », a écrit le groupe sur son site Internet. « Tout cela aurait pu être évité en payant. »
Samedi, Conti a fait monter les enchères en menaçant de supprimer les clés pour restaurer les données s’il ne recevait pas le paiement dans la semaine.
« Avec les gouvernements, les agences de renseignement et les cercles diplomatiques, la partie débilitante de l’attaque n’est vraiment pas le ransomware. C’est l’exfiltration de données », a déclaré M. Guerrero-Saade de SentinelOne. « Vous êtes dans une position où des informations vraisemblablement incroyablement sensibles sont entre les mains d’un tiers. »
La violation, parmi d’autres attaques menées par Conti, a conduit le département d’État américain à se joindre au gouvernement costaricien pour offrir une récompense de 10 millions de dollars à quiconque fournirait des informations permettant d’identifier les principaux dirigeants du groupe de piratage.
« Le groupe a perpétré un incident de ransomware contre le gouvernement du Costa Rica qui a gravement affecté le commerce extérieur du pays en perturbant ses plateformes douanières et fiscales », a déclaré un porte-parole du département d’État, Ned Price. dit dans un communiqué. « En offrant cette récompense, les États-Unis démontrent leur engagement à protéger les victimes potentielles de ransomwares dans le monde contre l’exploitation par les cybercriminels. »
Kate Conger a rapporté de Washington et David Bolaños de San José, Costa Rica.