Skip to content
Cyber Breaches
Recherche
RançongicielContenu

Attaque par rançongiciel Conti contre le gouvernement du Costa Rica

Conti a chiffré 27 institutions gouvernementales costaricaines, dont le ministère des Finances, paralysant la collecte des impôts et les douanes pendant des mois. Le président Chaves a déclaré l'état d'urgence national — le premier état d'urgence de l'histoire dû à un cyberincident.

Victime
Gouvernement du Costa Rica (27 institutions dont le ministère des Finances, les Douanes, la Sécurité sociale)
Perte
$130.0M
SecteurGouvernement
PaysCosta Rica
GroupeContiWizard Spider
Attaquants nommésVitaly Kovalev
CVECVE-2022-26134

Le 17 avril 2022, l'opération de rançongiciel Conti a déployé son outil de chiffrement à travers le ministère des Finances costaricain, paralysant la collecte des impôts et le traitement des douanes du pays. Au cours des semaines suivantes, l'attaque s'est étendue à 27 institutions gouvernementales au total. Le 8 mai 2022, le président fraîchement investi Rodrigo Chaves a déclaré l'état d'urgence national — le premier état d'urgence de ce type dans un pays en réponse à un cyberincident.

L'attaque contre le Costa Rica est largement interprétée comme le coup de clôture réputationnel de Conti avant son retrait opérationnel. C'est aussi le cas de référence le plus cité de rançongiciel comme coercition étatique en dehors des opérations explicitement étatiques.

Ce qui s'est passé

L'intrusion a commencé par des identifiants VPN volés pour le ministère des Finances costaricain. Les identifiants ne disposaient pas d'authentification multifacteur. Les opérateurs de Conti ont :

  • Pénétré via le VPN aux alentours du 11 avril 2022.
  • Passé six jours à établir une persistance, à récupérer des identifiants et à cartographier l'environnement du ministère.
  • Le 17 avril, déclenché le rançongiciel à travers les systèmes critiques du ministère.

La collecte des impôts, le traitement des douanes et les opérations du Trésor se sont arrêtés simultanément. Les douanes du Costa Rica au plus grand port du pays — par lequel transite l'essentiel de ses exportations — ne pouvaient plus traiter les formalités, bloquant les expéditions à l'export.

Au cours du mois suivant, Conti est passé du ministère des Finances à 26 institutions gouvernementales supplémentaires, dont :

  • La CCSS (Caja Costarricense de Seguro Social) — le système national de sécurité sociale et de santé
  • Le ministère des Sciences, de l'Innovation, de la Technologie et des Télécommunications
  • L'Institut météorologique du Costa Rica (service météorologique national)
  • Le ministère du Travail et de la Sécurité sociale
  • Plusieurs gouvernements municipaux

L'état d'urgence national

Le 8 mai 2022, le président Chaves — un seul jour après son entrée en fonction — a déclaré l'état d'urgence national en invoquant la cyberattaque. La déclaration :

  • A conféré une autorité légale pour les marchés de réponse d'urgence.
  • A autorisé le recours à des contrats de marchés militaires pour des services de technologie et de réponse à incident.
  • A été le premier état d'urgence dans un pays en réponse à un cyberincident.

La déclaration était aussi un message politique : le Costa Rica s'est positionné comme la victime d'une cybercriminalité alignée sur un État, nécessitant une solidarité internationale.

La rhétorique du « renversement »

Les communications de Conti ont connu une escalade inhabituelle dans les jours qui ont suivi la déclaration d'état d'urgence. Le 11 mai, l'opération a publiquement :

  • Porté la demande de rançon à 20 millions de dollars.
  • Menacé de nouvelles attaques contre l'infrastructure costaricaine.
  • Suggéré dans des publications sur son site de fuite que l'opération pourrait « renverser » le gouvernement costaricain par des attaques continues.

La rhétorique était sans précédent pour une opération de rançongiciel — ouvertement politique plutôt que transactionnelle. La réponse du gouvernement costaricain a consisté à refuser publiquement de payer et à solliciter une cyber-assistance internationale des États-Unis, de l'Espagne et d'Israël.

Pourquoi Conti s'est retiré

Le 19 mai 2022, un peu plus d'un mois après l'attaque initiale contre le ministère des Finances, Conti a annoncé formellement sa fermeture. L'infrastructure de l'opération est passée hors ligne ; le site de fuite a cessé de publier de nouvelles victimes.

L'interprétation du baisser de rideau est largement admise dans la communauté du renseignement sur les menaces :

  • Les Conti Leaks de février 2022 avaient exposé 170 000 messages Jabber internes, du code source et des documents opérationnels, avec Vitaly Kovalev (« Stern ») identifié comme l'équivalent du PDG.
  • La marque Conti était compromise sur le plan réputationnel au point que la plupart des affiliés migraient déjà vers d'autres opérations.
  • L'attaque contre le Costa Rica a fonctionné comme une opération finale très visible — possiblement pour satisfaire des engagements de revenus encore dus à des affiliés, possiblement comme déclaration réputationnelle d'adieu, possiblement pour couvrir la dispersion du personnel de Conti dans des opérations successeurs (Black Basta, BlackCat/ALPHV, Hive, Royal).

Les opérations successeurs — en particulier Black Basta — sont largement comprises comme étant opérationnellement continues avec Conti, partageant la lignée d'ingénierie et de gestion même après le changement de marque.

Impact

  • 27 institutions gouvernementales costaricaines affectées.
  • Collecte des impôts et douanes perturbées pendant des semaines ; le rétablissement opérationnel complet a pris environ six mois.
  • Coût direct estimé pour le Costa Rica : ~130 M$ incluant la remédiation, les pertes de recettes et les marchés d'urgence.
  • La CCSS a été de nouveau attaquée par Hive (un dérivé de Conti) le 31 mai 2022, démontrant la continuité opérationnelle du personnel même après le retrait de la marque Conti.

Pourquoi c'est important

Conti / Costa Rica est le cas canonique du rançongiciel comme coercition étatique contre un gouvernement national. Il a établi :

  • Que l'infrastructure gouvernementale d'un petit État est opérationnellement ciblable par des opérations criminelles de rançongiciel, avec des conséquences politiques proportionnellement plus importantes que pour les États plus grands.
  • Qu'un état d'urgence national est une réponse juridico-politique viable à un cyberincident majeur — conférant à la fois autorité de marchés publics et message politique dans un seul instrument.
  • Que l'escalade rhétorique (« renversement ») d'une opération de rançongiciel franchit une ligne implicite que la communauté criminelle plus large a jugée problématique. Le retrait de Conti immédiatement après le Costa Rica est largement compris comme étant en partie une réaction à la pression politique attirée par cette rhétorique.
  • Que le retrait d'une marque ne signifie pas le retrait opérationnel. Le même personnel, les mêmes outils et les mêmes tactiques sont réapparus sous de nouvelles marques en quelques semaines. Le cadre consistant à analyser les « opérations de rançongiciel » plutôt que les « marques de rançongiciel » est devenu la réponse de la communauté du renseignement sur les menaces à la continuité Conti / successeurs.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
130.0M
USD · 130 000 000 $US
Rançon demandée
$20.0M
Rançon payée
Refusée
  • Perte d’exploitation$100.0M
  • Remédiation$30.0M

Chronologie

  1. Les opérateurs de Conti établissent un accès initial dans le réseau du ministère des Finances costaricain via des identifiants VPN volés. Les identifiants ne disposaient d'aucune authentification multifacteur.

  2. Conti déclenche le rançongiciel à travers les systèmes du ministère des Finances. La collecte des impôts, le traitement des douanes et les opérations du Trésor sont à l'arrêt.

  3. Conti publie le ministère des Finances sur son site de fuite. Demande de rançon initiale : 10 M$.

  4. L'attaque s'étend à 26 institutions gouvernementales costaricaines supplémentaires, dont la Sécurité sociale (CCSS), le ministère des Sciences, l'Institut météorologique du Costa Rica et plusieurs ministères.

  5. Le président fraîchement investi Rodrigo Chaves déclare l'état d'urgence national en réponse à la cyberattaque — le premier état d'urgence dû à un cyberincident décrété par un gouvernement dans l'histoire.

  6. Conti porte la demande de rançon à 20 M$ et menace de renverser le gouvernement par de nouvelles attaques.

  7. Conti annonce formellement sa fermeture, son infrastructure passant hors ligne. L'attaque contre le Costa Rica est largement comprise comme un dernier coup réputationnel avant le retrait de la marque, possiblement en réaction aux Conti Leaks (février 2022) qui avaient identifié des membres du personnel.

  8. Une deuxième vague d'attaques contre la Caisse de Sécurité sociale costaricaine (CCSS) est menée — cette fois par le rançongiciel Hive (un dérivé de Conti).

  9. Le Costa Rica rétablit progressivement la plupart des systèmes affectés sur plusieurs mois. Le retard de la collecte des impôts est résorbé au T4 2022 ; certains systèmes de moindre priorité restent hors ligne jusqu'en 2023.

Sources

  1. presidencia.go.crhttps://www.presidencia.go.cr/comunicados/2022/05/declaratoria-de-emergencia-nacional-por-ataque-cibernetico/
  2. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/conti-ransomware-shuts-down-operation-rebrands-into-smaller-units/
  3. home.treasury.govhttps://home.treasury.gov/news/press-releases/jy0840

Incidents liés

RançongicielContenu

Rançongiciel Conti contre HSE Irlande — arrêt national du système de santé (2021)

Les opérateurs de Conti ont piégé un utilisateur du HSE pour qu'il télécharge une pièce jointe Excel malveillante ; le rançongiciel qui en a résulté a contraint le Health Service Executive à arrêter tous les systèmes informatiques de santé en Irlande et a exfiltré 700 Go de données, dont des informations médicales sur la vaccination COVID-19. Le coût de la remise en état a dépassé 100 millions d'euros.

Victim
Service de santé exécutif (HSE) d'Irlande
Loss
$110.0M
RançongicielContenu

Rançongiciel contre le HSE irlandais (Conti)

Le rançongiciel Conti a paralysé le Health Service Executive irlandais, forçant l'annulation de rendez-vous externes à l'échelle nationale pendant des semaines. Conti a fourni le déchiffreur gratuitement ; la récupération a tout de même coûté plus de 100 M€ selon les estimations.

Victim
Health Service Executive (HSE) d'Irlande
Loss
$130.0M
Records
700.0K