El ‘hackeo’ del grupo Conti contra el Ministerio de Hacienda y otras instituciones en Costa Rica vino acompañado de un incremento de ataques cibernéticos contra instituciones y empresas locales.
“Definitivamente Conti ha desatado un aumento en los ataques a las instituciones”, explicó Joey Milgram, gerente país de Soluciones Seguras. En abril del 2021 se detectaron un promedio de 819 ataques semanales y en lo que se lleva de este mes de abril de 2022 se registran 1.468 ataques por semana.
La firma Kaspersky reportó que Costa Rica pasó de tener un promedio de 2.000 embates cibernéticos diarios a 4.500 desde el pasado 18 de abril, que fue cuando se dio a conocer el ataque a los sistemas del Ministerio de Hacienda.
LEA MÁS: Estos son los datos de contribuyentes que guarda Hacienda en sus sistemas ATV y TICA
Según la unidad de servicios tecnológicos IBUX, de la Empresa de Servicios Públicos de Heredia (ESPH), Costa Rica pasó de la posición 165 a la 77 este 20 de abril de los países más golpeados por los hackers, con base en los reportes de Kaspersky.
Los servicios en línea del Ministerio de Hacienda se mantienen desactivados, así como del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt). También han sido acatadas la Caja Costarricense del Seguro Social (CCSS), Radiográfica Costarricense S.A. (Racsa) y el Instituto Meteorológico Nacional (IMN).
Conti aseguró haber atacado, además, este 21 de abril al Fondo de Desarrollo Social y Asignaciones Familiares (Fodesaf) y al Ministerio de Trabajo y Seguridad Social (MTSS), de acuerdo a Better Cyber, una cuenta en Twitter que realiza reportes de ataques cibernéticos a nivel mundial.
🚨 #Conti continues the cyberattack against Costa Rica 🇨🇷, allegedly compromising the Fondo de Desarrollo Social y Asignaciones Familiares (FODESAF) and Ministerio de Trabajo y Seguridad Social (MTSS)...#Ransomware #RansomwareGroup pic.twitter.com/pmbQIog12I
— BetterCyber (@_bettercyber_) April 21, 2022
El Micitt anunció que en el Ministerio de Trabajo y en Fodesaf se implementaron las acciones de contención y se continúa con el análisis del incidente, así como con el reforzamiento de la ciberseguridad según los protocolos correspondientes.
En el caso de Hacienda, el ministro Elian Villegas reiteró que el daño sufrido se conocerá cuando el equipo técnico del Ministerio y los expertos de Microsoft, GBM y otra firma que no especificó terminen de realizar el análisis forense, pero admitió que los hackers habrían tenido acceso a servidores con datos de los contribuyentes e información histórica de aduanas.
LEA MÁS: Hackeo a Hacienda: ¿qué es el ‘ransomware’ de Conti y cómo protegerse de ciberdelincuentes?
La CCSS informó que el ataque cibernético que sufrió su portal web de recursos humanos no afectó otras plataformas de la organización y que no se extrajo información sensible de los trabajadores. En el caso de Racsa y el IMN también se reportó afectación a servidores de correos electrónicos internos.
Conti, según Better Cyber, también anunció que continúa publicando archivos extraídos al Ministerio de Hacienda, incluyendo información de ciudadanos y empresas.
🚨 #Conti continues to publish data allegedly belonging to the Costa Rican 🇨🇷 Ministerio de Hacienda, leaking an additional ~24 GB...#Ransomware #RansomwareGroup #ContiLeaks pic.twitter.com/Y2VUCuiiDQ
— BetterCyber (@_bettercyber_) April 21, 2022
Tipo de ataques
Los ataques de los ciberdelincuentes contra instituciones y empresas no son nuevos, pero en los últimos seis meses los reportes indican un incremento. Las empresas y entidades que cuentan con sistemas de monitoreo confirman los numerosos intentos diarios que realizan los hackers en busca de una vulnerabilidad.
Los principales tipos de ataques, según las firmas, consisten en robo de información (utilizando troyanos y ransomware, en este caso con fines extorsivos), alteración de sitios web con reemplazo de datos (defacement, como en el caso del Micitt), Business Email Compromise (BEC, una infiltración en las conversaciones de las empresas) y phishing (obtención de datos personales como claves bancarias.
Eset indicó que los ransomware, como otros tipos de software malignos (malware), se distribuyen normalmente a través de correos de phishing que incluyen adjuntos maliciosos que se descargan en instancias posteriores en el equipo de la víctima. Eso ocurre con Conti, según esta firma de ciberseguridad.
“Conti suele utilizar la modalidad de doble extorsión, también conocida como doxing, que consiste en divulgar públicamente información confidencial de sus víctimas sin el consentimiento de éstas, para posteriormente amenazarlas con publicar más información si no realizan el pago del dinero exigido para el rescate de los datos”, explicó Isaac Rodríguez, gerente de los servicios de ciberseguridad y privacidad de PwC Costa Rica.
La firma Sistemas Aplicativos (Sisap) indicó que en Centroamérica y el Caribe las principales amenazas son de ataques son tipo ransomware (41%) y BEC (16%). A nivel latinoamericano los ataques ransomware crecieron 207% y los ataques BEC aumentaron 100%, según la Federal Bureau of Investigation (FBI), de Estados Unidos que también lleva reportes globales.
“Aunque las fuentes reportan diferentes porcentajes y cifras de afectación, lo que es evidente es que estos y otros tipos de ataques van creciendo año a año y no se espera una disminución”, advirtió Juan Bustos, gerente país de Sisap.
Conti también amenazó con realizar ataques contra empresas privadas, si el gobierno no atiende su extorsión.
🚨#Conti's message to Costa Rica 🇨🇷:
— BetterCyber (@_bettercyber_) April 21, 2022
"We give a 35% discount on a quick payment for our services, we also promise not to touch the private sector of costa rica, we treat the businessman of this country with respect and ask them to ask them to convince the government to pay us" pic.twitter.com/IkDl6TVp7Y
Mucho de lo que se ha detectado son páginas web de diferentes organizaciones con vulnerabilidades que pueden ser explotadas por atacantes. También se valen de la baja cultura de seguridad informática.
Uno de cada 10 casos detectados en el país es el DangerousObject.Multi.Generic, según Ibux-ESPH y basado en datos de Kaspersky. Este malware llega a través de un archivo en apariencia inofensivo, crea una puerta que cede el control de los equipos al hacker y permite que los ciberdelincuentes, con diferentes herramientas como teclados virtuales o sistemas de escucha de información, se apropien de contraseñas y demás datos.
Carlos Vanegas, ingeniero en sistemas y experto en ciberseguridad de Ibux-ESPH, indicó que la labor del ciberatacante es facilitada por el exceso de confianza, falta de malicia y escasa cultura en ciberseguridad de los usuarios.
Los especialistas recuerdan a las empresas e instituciones utilizar soluciones de endpoint con funciones avanzadas anti ransomware, Web Application Firewall (para proteger la página web), de mitigación de ataques de denegación de servicio, dde monitoreo basadas en inteligencia artificial y de protección para servidores con información sensible.
Se debe también monitorear una serie de indicadores de compromiso de Conti y de otros ransomwares y realizar análisis constante del nivel de compromiso, mantener un servicio de SOC (Security Operation Center) y ejecutar un programa de ciberseguridad sostenible en el tiempo.
Otras buenas prácticas son: sar multifactor de autenticación, segmentar y segregar las redes y servicios, y mantener actualizado los sistemas operativos y aplicaciones.
“Los cibercriminales utilizan técnicas de ingeniería social para difundir sus campañas, por lo que resulta fundamental que los colaboradores de las empresas cuenten con las herramientas necesarias para identificar estos engaños. La capacitación de los empleados es una actividad que se ha vuelto un elemento clave para prevenir incidentes de seguridad”, recordó Eset.