Online outlaws leggen overheid Costa Rica lam
Costa Rica heeft de noodtoestand uitgeroepen na een cyberaanval. Ransomwaregroep Conti eiste de hacking op. De groep wordt gelinkt aan meer dan duizend afpersingen, ook in de haven van Antwerpen.
Met pen en papier, stempels en lange wachtrijen: sinds het paasweekend moeten delen van het Costa Ricaanse ministerie van Financiën hun administratie op de ouderwetse manier afhandelen, terug naar de jaren 50. Hun IT-systemen zijn ten prooi gevallen aan Conti-ransomware. Met dat type malware blokkeren criminele groepen computers door de data erop te versleutelen. Ze persen hun slachtoffers af en vragen losgeld in ruil voor de sleutel. Om hun dreigementen kracht bij te zetten, lekken ze ook bemachtigde data.
Dat is precies wat Costa Rica momenteel overkomt. Conti heeft op zijn website, die enkel bereikbaar is via de Tor browser, al meer dan 670 gigabyte aan Costa Ricaanse data geplaatst. Ook het ministerie van Werk en Sociale Zekerheid en de dienst die instaat voor de kinderbijslag lijken getroffen. Er zijn problemen met de inning van belastingen doordat het plaatselijke tax-on-web platligt, maar ook de import en export hebben te lijden onder de aanval. Christian Rucavado, de directeur van Cadexco, de kamer van exporteurs, verklaarde in april aan persagentschap AP dat het een race tegen de klok was om sommige goederen het land uit te krijgen. ‘Er zijn vertragingen aan de grenzen omdat alles manueel moet gebeuren’, zei hij. Tot op vandaag kampen de administraties nog met problemen.
Kwetsbaar voor hackings Nadat kersvers president Rodrigo Chaves Robles zondag de eed had afgelegd, vaardigde hij meteen drie decreten uit. Twee hadden te maken met covid-19, met het derde kondigde hij de noodtoestand af. ‘Dit decreet moet onze samenleving in staat stellen om een antwoord te bieden op de aanvallen van cybercriminelen en -terroristen. De noodtoestand geldt voor de hele publieke sector.’
Het Midden-Amerikaanse Costa Rica, dat ruim vijf miljoen inwoners telt, heeft verschillende vrijhandelszones en is daarom aangens voor bedrijven. In vergelijking tot andere landen met eenzelfde inkomensniveau doet Costa Rica het erg goed op het vlak van ontwikkeling en ongelijkheid. De digitalisering maakt het ook meer kwetsbaar voor hackings. Behalve Oekraïne, waar de Russische inval gepaard ging met cyberaanvallen, is dit voor zover geweten de eerste keer dat een land officieel de noodtoestand afkondigt weeen hacking, zeker bij een die afkomstig is van een criminele groep. Conti, de groep die de hacking opeist, is bovendien niet van de minste. De Amerikaanse FBI linkt de ransomware die zij heeft ontwikkeld aan minstens duizend slachtoffers. ‘Er is na aanvallen met Conti-ransomware al voor minstens 150 miljoen dollar (142 miljoen euro, red.) uitbetaald. Daarmee is het de ransomware die al het meest heeft opgebracht.’
Kerngroep in Rusland Hoeveel de hackers eisen van Costa Rica is onduidelijk. Er is sprake van tien miljoen dollar (9,49 miljoen euro), maar dat is onbevestigd. Sinds de hacking van Costa Rica is de ransomware van Conti losgelaten op verschillende andere doelwitten. Vanuit de Peruviaanse inlichtingendienst Digimin heeft Conti al 9,4 gigabyte aan data gelekt. Ook verschillende bedrijven in de Verenigde Staten (waaronder een architectenfirma in het New Yorkse Albany), een woningtrekkelijk corporatie in Nederland, het Canadese filiaal van Panasonic, een Duitse fabrikant van windturbines en een Grieks ferrybedrijf werden getroffen.
De slachtoffers zijn niet alleen talrijk, ze hebben ook uiteenlopende profielen. Dat komt door de structuur van Conti. Er is een kerngroep in Rusland die met de ontwikkelde ransomware aanvallen uitvoert, daarnaast stelt ze die ook ter beschikking van andere criminele groepen die ze naar goeddunken kunnen gebruiken. In februari dook de ransomware van Conti op bij het Belgische havenbedrijf Sea-Invest, dat instaat voor de opslag van olieproducten (DS 4 februari). Rond die periode kregen ook andere oliebedrijven ransomwareaanvallen te verduren, met een ander type malware. Mogelijk was er dus een groep die diverse ransomware inschakelde om havenbedrijven te treffen. Het parket van Antwerpen onderzoekt de hacking van SeaInvest.
Het ministerie van Financiën in Costa Rica moet zijn administratie op de ouderwetse manier afhandelen, terug naar de jaren 50
Hacker van de maand
De manier van werken maakt het extra moeilijk om vat te krijgen op Conti, de outlaws van het online Wilde Westen. Om het helemaal compleet te maken, heeft het Amerikaanse ministerie van Buitenlandse Zaken een beloning van tien miljoen dollar uitgeloofd voor informatie die leidt tot de identificatie of locatie van de leiders binnen Conti. Voor informatie die de arrestatie oplevert van een individu in om het even welk land dat samenspant met Conti, is er een beloning van vijf miljoen dollar.
De ijver om achter Conti aan te gaan heeft niet alleen te maken met de economische schade die de groep aanricht. Er is ook een belangrijke politieke component. Rusland geldt als een veilig onderkomen voor professionele criminele groepen en dikwijls zijn er zelfs linken met inlichtingendiensten. Kort na de Russische invasie in Oekraïne zwoer Conti overigens trouw aan het Kremlin, met als gevolg dat een pro-Oekraïense handlanger interne data van Conti zelf begon vrij te geven.
‘Daaruit konden we afleiden dat ze vrij professioneel gestructureerd zijn’, analyseerde het Belgische Centrum voor Cybersecurity (CCB). ‘Er is een niveau van leidinggevenden, mensen die verantwoordelijk zijn voor de HR en op zoek gaan naar nieuwe hackers, een financieel directeur, enzovoort.’ De gelekte data gaven ook prijs dat Conti ijverige ‘werknemers’ beloont met de titel ‘werknemer van de maand’ en een bonus van 50 procent van het maandsalaris.