El sistema de salud pública de Costa Rica afectado por el ransomware Hive tras los ataques de Conti
El servicio de salud pública de Costa Rica, conocido como la Caja Costarricense de Seguro Social (CCSS), se vio obligado a desconectar sus sistemas después de ser atacado por Hive Secuestro de datos.
En un declaración en Twitter, la CCSS dijo que el ataque comenzó la madrugada del martes y que se está llevando a cabo una investigación. Agregó que varias bases de datos de nóminas y pensiones, incluido el sistema de salud digital unificado y el sistema centralizado de recaudación de impuestos, no se vieron afectados por el ataque. En una dirección a los medios locales, la CCSS agregó que el ransomware Hive se ha implementado en al menos 30 de los 1500 servidores gubernamentales y se desconocen las estimaciones de tiempo de recuperación.
Varios empleados de la CCSS dijeron que les dijeron que apagaran sus computadoras después de que todas sus impresoras comenzaron a arrojar documentos ininteligibles. Otro empleado dijo que después del ataque, los resultados de COVID-19 no se pueden publicar actualmente.
El ataque se produce pocas semanas después de que el presidente de Costa Rica, Rodrigo Chaves, declarara el estado de emergencia en el país en respuesta a los ataques cibernéticos del Grupo de ransomware Conti. El Ministerio de Hacienda de Costa Rica fue la primera agencia gubernamental en ser atacada por el grupo de piratería vinculado a Rusia, y en un comunicado del 16 de mayo, Chaves dijo que el número de instituciones afectadas ha aumentado a 27 desde entonces.
En una publicación de ese momento en su blog Dark Web Leaks, Conti instó a los ciudadanos de Costa Rica a presionar a su gobierno para que pague el rescate, que el grupo duplicó de 10 millones de dólares a 20 millones de dólares. En un comunicado separado, el grupo advirtió: “Estamos decididos a derrocar al gobierno a través de un ciberataque, ya les hemos mostrado toda la fuerza y el poder”.
Los expertos en seguridad cibernética han sugerido que los ciberdelincuentes detrás de este último ataque de ransomware Hive pueden estar trabajando con la pandilla Conti para ayudar al grupo a cambiar su marca y evadir las sanciones internacionales dirigidas a los pagos de extorsión a los ciberdelincuentes que operan en Rusia.
Según la Compañía de Inteligencia de Amenazas AdvIntel, Conti «ya no puede apoyar lo suficiente y obtener extorsión» debido a su lealtad pública a Rusia en los primeros días de la invasión rusa de Ucrania, y cree que el grupo se está cerrando. El sitio web oficial de la pandilla y el sitio del servicio comercial se apagaron, mientras que el resto de la infraestructura, desde las salas de chat hasta los mensajeros y los servidores hasta los servidores proxy, sufrió un reinicio importante.
Como resultado, AdvIntel cree que la pandilla ha formado alianzas con otros grupos de ransomware, incluido Hive, una operación de ransomware como servicio (RaaS) que ha estado activa al menos desde junio de 2021.
Brett Callow, experto en ransomware y analista de amenazas de Emsisoft, dijo a TechCrunch: “La misma persona podría estar afiliada tanto a Conti como a Hive y potencialmente a otras operaciones de RaaS. También es posible que Conti y Hive establecieran una relación de trabajo, como afirman otros estudiosos.
«Algunas empresas comerciales se negaron a negociar con Conti porque se pusieron del lado de Rusia y amenazaron con atacar la infraestructura crítica de EE. UU. debido al riesgo de complicaciones de la OFAC/sanción. Por esta razón, no es improbable que el equipo central y/o los afiliados quieran los ataques». atribuirse a otras operaciones de ransomware.
