Seg\u00fan informaci\u00f3n filtrada<\/a> desde chat internos del Grupo por un investigador an\u00f3nimo, con conversaciones desde principios de 2020, hasta el 27 de febrero de 2022, entre otras cosas Conti anunci\u00f3 su apoyo a Rusia y amenaz\u00f3 con implementar \u00abmedidas de represalia<\/em>\u00bb si se lanzaban ciberataques contra ese pa\u00eds.<\/p>\n\n\n\n Como parte de la filtraci\u00f3n<\/a>, se conoci\u00f3 que el miembro de mayor antig\u00fcedad es conocido por los alias Stern o Demon y act\u00faa como director ejecutivo. Otro miembro conocido como Mango act\u00faa como gerente general y se comunica con frecuencia con Stern. Otro detalle interesante es que el grupo recluta constantemente en sitios leg\u00edtimos de contrataci\u00f3n y en el Darkweb, lo que deja ver que operan de manera muy similar a una empresa de desarrollo de software y contrariamente a la creencia popular, parece que muchos desarrolladores tienen salarios y no participan de las ganancias de los rescates pagados.<\/p>\n\n\n\n \u00bfPero, que tiene que ver Conti con Costa Rica?, Pues bien, el 18 de abril del 2022, Conti hace p\u00fablico en su sitio oficial que ha atacado con \u00e9xito el Ministerio de Hacienda de Costa Rica y que ha logrado exfiltrar casi 1 Tb de datos de sistemas y bases de datos diversos; ha encriptado masivamente datos y ha logrado persistencia en cientos de servidores, incluso asegurando que el 70% de su infraestructura no podr\u00e1 ser recuperada, por lo cual demanda un rescate extorsivo de $10 millones de d\u00f3lares.<\/p>\n\n\n\n No est\u00e1 claro si este ataque tuvo una motivaci\u00f3n pol\u00edtica, mientras que el Grupo de ransomware Conti anunci\u00f3 su apoyo a la invasi\u00f3n rusa de Ucrania, Costa Rica conden\u00f3<\/a> p\u00fablicamente la invasi\u00f3n.<\/p>\n\n\n\n No obstante, el incidente podr\u00eda ser el primer indicador de que grupos respaldados por Rusia, como Conti; se est\u00e1n embarcando en una nueva ola de ataques. \u00bfPorque se cree que esta respaldado por el gobierno ruso?, simple; las agencias de inteligencia dicen que el grupo no ataca objetivos en Rusia, ni las figuras clave viajan fuera de ese pa\u00eds por temor a ser arrestadas. Su software est\u00e1 programado para desinstalarse solo si detecta que el sistema usa el idioma ruso o si el sistema tiene una direcci\u00f3n IP en la antigua Uni\u00f3n Sovi\u00e9tica.<\/p>\n\n\n\n El grupo, como cualquier otro no tiene objetivos definidos, sino que esparce su malware a trav\u00e9s de campa\u00f1as de phishing y spearphishing (correos maliciosos<\/em>) y esperan a sus siguientes v\u00edctimas. Por ese azar alg\u00fan usuario \u201cpic\u00f3\u201d en el enlace o \u201cdescarg\u00f3\u201d y abri\u00f3 un archivo en una de estas campa\u00f1as y bueno: Kabooom!<\/p>\n\n\n\n El 20 de abril la C\u00e1mara de Comercio Exterior<\/a> (Crecex), estim\u00f3 que a esa fecha se perdieron $200 millones debido a los cuellos de botella causados los d\u00edas de cortes, relacionados con la interrupci\u00f3n de las plataformas de impuestos y aduanas.<\/p>\n\n\n\n Han transcurrido varios d\u00edas desde el g\u00e9nesis, el grupo supone que el Gobierno de Costa Rica considera no ceder a sus demandas, as\u00ed que como medida de presi\u00f3n Conti amenaza con iniciar la publicaci\u00f3n de los datos exfiltrados, iniciando la publicaci\u00f3n a partir del 23 de abril, si el gobierno de Costa Rica no accede a su extorci\u00f3n y amenaza con seguir atacando empresas estatales hasta lograr el pago de sus demandas.<\/p>\n\n\n\n Lo ataques contin\u00faan y Conti anuncia en su foro que ha impactado tambi\u00e9n al Ministerio de Trabajo, el servicio de correo del Instituto Meteorol\u00f3gico Nacional, el Fondo de Desarrollo Familiar, amenaza servicios de la Caja Costarricense de Seguro Social, asunto reportado por la misma instituci\u00f3n, entre otros. Se han reportado adem\u00e1s por parte de Conti el ataque al SIUA (Sede Interuniversitaria de Alajuela).<\/p>\n\n\n\n En cadena nacional de televisi\u00f3n el presidente en ejercicio deja claro que no se pagar\u00e1 el rescate. A lo que Conti responde que no se detendr\u00e1, asegurando que har\u00e1 de Costa Rica un ejemplo ante la comunidad internacional, de lo que el poder\u00edo de un grupo como ellos puede hacer para da\u00f1ar y paralizar un pa\u00eds.<\/p>\n\n\n\n Esta vez, no habr\u00e1 anuncios en su foro, solo infraestructuras afectadas. Los ataques buscan que Costa Rica pague, no se detendr\u00e1n hasta lograrlo o hasta detener la econom\u00eda tica.<\/p>\n\n\n\n Los d\u00edas pasan, Conti ha seguido en avanzada en Costa Rica, derribando<\/a> los sistemas administrativos de una empresa estatal que administra los servicios de electricidad en la provincia de Cartago. Se trata de la Junta Administrativa del Servicio El\u00e9ctrico de Cartago (JASEC), que ha publicado varios avisos en Facebook explicando que todos sus sistemas administrativos fueron encriptados el fin de semana del 23 y 24 de abril.<\/p>\n\n\n\n A pocos d\u00edas de la salida del gobierno de turno, el presidente saliente firm\u00f3 una directiva que obliga a todos los organismos gubernamentales a informar sobre incidentes de seguridad al Centro de Respuesta a Incidentes de Seguridad Inform\u00e1tica (CSIRT), adscrito Ministerio de Ciencia y Tecnolog\u00eda del pa\u00eds. La directiva tambi\u00e9n ordena a todas las agencias que parchen los sistemas, cambien las contrase\u00f1as, desactiven los puertos innecesarios y supervisen la infraestructura de la red. Los desaf\u00edos que enfrenta el presidente electo siguen esta l\u00ednea.<\/p>\n\n\n\n El grupo ahora anuncia una avanzada contra empresas privadas.<\/p>\n\n\n\n Al cierre de abril (30, 31 de abril) aparecen Municipalidades<\/a> (Golfito, Turrialba, intentos en Buenos Aires y Santa B\u00e1rbara<\/em>) y otras empresas estatales<\/a> entre ellas la F\u00e1brica Nacional de Licores; reportando nuevos incidentes.<\/p>\n\n\n\n El Ministerio de Hacienda da visos de recuperaci\u00f3n, poniendo nuevamente en el ciberespacio un sitio Web informacional. No obstante, parece que por el tiempo que le ha tomado recuperarse, hay perdida de informaci\u00f3n.<\/p>\n\n\n\n El Director de Gobernanza Digital del MICITT informa<\/a> que en las \u00faltimas 24 horas se detectaron m\u00e1s de 4,000,000 de ciberataques contra entidades p\u00fablicas, con intentos de ejecuciones de comandos y control que fueron bloqueados gracias a los sistemas de protecci\u00f3n que el MICITT ha estado colocando.<\/p>\n\n\n\n Para cerrar este sumario, el Jerarca del MICITT, manifiesta que Conti ha asegurado que Costa Rica es una enorme botnet y que no se detendr\u00e1n, dejando como mensaje al concierto internacional sobre su poder\u00edo y como es en tiempos modernos un ataque orquestado por un estado-naci\u00f3n contra otro.<\/p>\n\n\n\n Conti ha comenzado a moverse en la regi\u00f3n atacando organismos gubernamentales en Per\u00fa y otros objetivos a nivel global, lo que deja evidencia de sus intenciones de monetizar como primera frontera, lo que hace presumir que puede ser motivado por las m\u00faltiples restricciones impuesta al gobierno ruso.<\/p>\n\n\n\n La adopci\u00f3n global de infraestructura tecnol\u00f3gica, misma que opera en y depende de Internet, las redes de datos empresariales, la automatizaci\u00f3n y transformaci\u00f3n digital, el crecimiento exponencial de IoT; sin duda han colaborado a que la superficie de ataque (individuos, empresas, gobiernos y tecnolog\u00eda<\/em>) incluidas las infraestructuras cr\u00edticas y la cadena de suministros est\u00e9n m\u00e1s expuestas a m\u00faltiples vectores de ataque.<\/p>\n\n\n\n En el contexto tecnol\u00f3gico, las definiciones acu\u00f1adas para la ciberguerra y el cibercrimen se han fusionado haciendo dif\u00edcil separarlos. Es decir, es por defecto complicado dilucidar a primera vista la diferencia real entre ellos, porque vemos estados y redes criminales sigilosamente moviendo sus hilos muy cohesivamente. Pareciera que el nexo entre estos es que el escenario compartido es el ciberespacio, lo que nos hace intuir que una ciberguerra actual no es m\u00e1s que la gresca inicial y de paso, un caldo de cultivo; para conflictos que ser\u00e1n cada vez m\u00e1s comunes, agresivos y voraces.<\/p>\n\n\n\n As\u00ed las cosas, nuestra econom\u00eda (Costa Rica), no es, ni ser\u00e1 la \u00fanica v\u00edctima potencial en esta escalada de escaramuzas desde estos grupos criminales aparentemente patrocinados por estados. De hecho, cada d\u00eda se suman nuevas v\u00edctimas, nuevos grupos y nuevos carteles en diversas latitudes.<\/p>\n\n\n\n Costa Rica, enfrenta hoy un enorme desaf\u00edo, uno que podr\u00eda hacerle retroceder a lo an\u00e1logo o le lanzar\u00e1 al futuro como una potencia en ciberdefensa… confiamos que ser\u00e1 lo segundo.<\/p>\n","protected":false},"excerpt":{"rendered":" Costa Rica est\u00e1 siendo fuertemente atacada por cibercriminales detr\u00e1s del ransomware Conti. En fondo, Conti ha sido observado desde 2020 y se sabe que todas las versiones del sistema operativo Microsoft Windows son afectadas con sus artefactos maliciosos. El grupo opera desde un sitio web en la Dark Web en el cual filtran los documentos… Leer m\u00e1s »Pa\u00edses bajo ciberataques: Costa Rica un ejemplo m\u00e1s<\/span><\/a><\/p>\n","protected":false},"author":2290,"featured_media":30654,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"neve_meta_sidebar":"","neve_meta_container":"","neve_meta_enable_content_width":"","neve_meta_content_width":0,"neve_meta_title_alignment":"","neve_meta_author_avatar":"","neve_post_elements_order":"","neve_meta_disable_header":"","neve_meta_disable_footer":"","neve_meta_disable_title":"","footnotes":""},"categories":[3,2008],"tags":[2913,2914],"class_list":["post-30681","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-administraciones-publicas","category-comunicacion","tag-ciberguerra","tag-ransomware"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/ramonramon.org\/blog\/wp-json\/wp\/v2\/posts\/30681","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ramonramon.org\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ramonramon.org\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ramonramon.org\/blog\/wp-json\/wp\/v2\/users\/2290"}],"replies":[{"embeddable":true,"href":"https:\/\/ramonramon.org\/blog\/wp-json\/wp\/v2\/comments?post=30681"}],"version-history":[{"count":0,"href":"https:\/\/ramonramon.org\/blog\/wp-json\/wp\/v2\/posts\/30681\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ramonramon.org\/blog\/wp-json\/wp\/v2\/media\/30654"}],"wp:attachment":[{"href":"https:\/\/ramonramon.org\/blog\/wp-json\/wp\/v2\/media?parent=30681"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ramonramon.org\/blog\/wp-json\/wp\/v2\/categories?post=30681"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ramonramon.org\/blog\/wp-json\/wp\/v2\/tags?post=30681"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"](\"https:\/\/ramonramon.org\/blog\/wp-content\/uploads\/2022\/05\/Conti-01-1.png\")
<\/figure><\/div>\n\n\n\n![\"\"](\"https:\/\/ramonramon.org\/blog\/wp-content\/uploads\/2022\/05\/Conti-PhishingProcess2-1200x675.jpg\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/ramonramon.org\/blog\/wp-content\/uploads\/2022\/05\/Conti-02-1.png\")
<\/figure><\/div>\n\n\n\n![\"\"](\"https:\/\/ramonramon.org\/blog\/wp-content\/uploads\/2022\/05\/Conti-04.png\")
<\/figure><\/div>\n\n\n\n![\"\"](\"https:\/\/ramonramon.org\/blog\/wp-content\/uploads\/2022\/05\/Conti-05.png\")
<\/figure><\/div>\n\n\n\n![\"\"](\"https:\/\/ramonramon.org\/blog\/wp-content\/uploads\/2022\/05\/Conti-03-1.jpg\")
<\/figure><\/div>\n\n\n\n