El domingo 17 de abril en horas de la tarde el Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR) informó al Ministerio de Hacienda de una supuesta publicación sobre un ransomware en el sistema de Administración Tributaria Virtual (ATV).
La supuesta actividad maliciosa identificada es la de Conti, un sistema malicioso o malware perteneciente a la familia de los ransomware y que utiliza la modalidad de extorsión con sus víctimas. Esta modalidad fue observada desde el año 2019 por este tipo de ciberdelincuentes a nivel global.
El Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), al cual pertenece el CSIRT-CR, recalcó que ante las amenazas de incidentes de ciberseguridad se cuenta con un protocolo de atención de incidentes, el cual fue enviado al Ministerio de Hacienda y se suma a los propios protocolos de seguridad con los que ya cuenta el Ministerio.
“Parte de estos protocolos incluye suspender de forma temporal algunos servicios para garantizar la operación y la seguridad de la información, mientras se determina si existió o no un incidente informático”, dijo Jorge Mora, director de gobernanza digital en Micitt.
#Conti claims to have hacked Ministerio de Hacienda, a government ministry in Costa Rica 🇨🇷...#Ransomware #RansomwareGroup #ContiLeaks pic.twitter.com/1icHggzANi
— BetterCyber (@_bettercyber_) April 17, 2022
Micitt indicó que el equipo del Ministerio de Hacienda le confirmó que su equipo se encuentra trabajando para determinar si existe evidencia de algún ransomware dentro de sus sistemas y que hasta el momento no tienen evidencia que se haya extraído información sensible de las personas o de la institución.
Asimismo, Hacienda habría confirmado que sus sistemas utilizan cifrado en el almacenamiento de contraseñas, por lo que estas se encontrarían seguras y no habría evidencia de riesgo de sustracción de algún tipo de credencial.
Mora también indicó que el CSIRT-CR del Micitt constantemente envía alertas técnicas acerca de actualizaciones de seguridad para diferentes sistemas y recomendaciones a seguridad a todo el sector público y el sector financiero del país.
¿Qué es Conti?
La existencia y las alertas sobre este ransomware conocido como Conti se registran desde setiembre del 2021. Según Micitt, tanto en ese momento como el pasado 15 de marzo del presente año el CSIRT-CR envió alertas a todas las instituciones del Estado, sobre esta amenaza informática.
Micitt indicó que el CSIRT-CR se encuentra en contacto con el equipo de dicho Ministerio y también con agencias internacionales que puedan actualizarlos acerca de nuevos indicadores de compromiso relacionados con estos ciberdelincuentes para poder actualizar a todas las instituciones del país.
Por su parte, la firma Eset explicó que Conti es un malware que pertenece a la familia de los ransomware, el cual fue visto por primera vez entre octubre y diciembre de 2019. Opera como un Ransomware as a Service (RaaS).
“Esto significa que los desarrolladores ofrecen el ransomware en foros clandestinos para reclutar afiliados, que son quienes se ocupan de la distribución de la amenaza a cambio de un porcentaje de las ganancias obtenidas por el pago de los rescates”, dice Fernando Tavella, en un blog de Eset.
Conti suele utilizar la modalidad doble extorsión, también conocida como doxing, que consiste en exfiltrar información confidencial de sus víctimas previo al cifrado para luego extorsionarlas amenazándolas con publicar información exfiltrada a menos que paguen el monto de dinero exigido.
De esta forma aumentan la presión, ya que no solo se trata de recuperar los archivos cifrados, sino también de evitar una posible brecha de información que podría perjudicar a la víctima de diversas maneras; por ejemplo, dañando su reputación.
“Esta modalidad se observó por primera vez en 2019 con el ransomware Maze y rápidamente fue adoptada por otras bandas criminales”, dijo Tavella.
| Protección informática |
|---|
| El CSIRT-CR recuerda a todas las empresas privadas e instituciones del Estado a continuar fortaleciendo sus medidas de seguridad por medio de las siguientes recomendaciones: |
| Tenga una sólida protección del correo electrónico y utilice doble factor de autenticación (MFA por sus siglas en inglés). |
| No abra archivos adjuntos de destinatarios que no conozca dado que pueden estar infectados con malware y Ransomware. |
| Utilice una política de privilegios mínimos dentro de los sistemas de su organización. |
| Realice copias de seguridad constantes de su información y sistemas críticos. |
| Mantener actualizados sus sistemas y sistemas operativos con las últimas versiones y actualizaciones de seguridad. |
| Aumentar los niveles de protección en los equipos que cumplan las funciones de AntiSpam, WebFilter y Antivirus. |
| Verificar y controlar los servicios de escritorio remoto (RDP). |
| En caso de ser víctima de un Ransomware, no pagar por ningún tipo de extorsión. |
| Contactar al Centro de Respuesta a Incidentes en Seguridad Informática (CSIRTCR) al correo csirt@micitt.go.cr. Este equipo le brindará ayuda para resolver el incidente y le recomendará cómo actuar para recuperar los archivos si existiera ya algún mecanismo probado |
| Fuente: Micitt |