El sistema de salud pública de Costa Rica fue atacado por el ransomware Hive
El servicio de salud pública de Costa Rica, conocido como la Caja Costarricense del Seguro Social (CCSS), se vio obligado a desconectar sus sistemas después de ser atacado por el ransomware Hive.
dentro de algo declaración en TwitterLa CCSS dijo que el ataque comenzó la madrugada del martes y que hay una investigación en curso. Agregó que varias bases de datos de nóminas y pensiones, incluido el sistema Unificado de Salud Digital y el sistema centralizado de recaudación de impuestos, no se vieron afectados por el ataque. En un comunicado a los medios locales, la CCSS agregó que el ransomware de Hive se estaba ejecutando en al menos 30 de los 1500 servidores gubernamentales y que aún se desconocen las estimaciones del tiempo de recuperación.
Varios empleados CCSS dijo que les dijeron que apagaran sus computadoras después de que todas sus impresoras comenzaron a arrojar documentos incomprensibles. Otro empleado dijo que, como resultado del ataque, no se pueden informar resultados de COVID-19 en este momento.
El ataque se produce pocas semanas después de que el presidente de Costa Rica, Rodrigo Chaves, declarara el estado de emergencia en el país en respuesta a los ciberataques del grupo de ransomware Conti. El Ministerio de Hacienda de Costa Rica fue el primer organismo gubernamental atacado por el grupo de hackers vinculado a Rusia, y en un comunicado del 16 de mayo, Chaves dijo que el número de instituciones afectadas había aumentado a 27 desde entonces.
En una publicación en su entonces oscuro blog de filtraciones en la web, Conti pidió a los ciudadanos costarricenses que presionaran a su gobierno para que pagara el rescate, que el grupo duplicó de los $10 millones originales a $20 millones. El grupo advirtió en un comunicado separado: “Estamos decididos a derrocar al gobierno a través de un ataque cibernético, ya les hemos mostrado todo el poder y la autoridad”.
Los expertos en seguridad cibernética han sugerido que los ciberdelincuentes detrás de este último ataque de ransomware Hive podrían estar trabajando con la pandilla Conti para ayudar al grupo a reformarse y evitar las sanciones internacionales dirigidas a los pagos de extorsión a los ciberdelincuentes con sede en Rusia.
Según la compañía de inteligencia de amenazas AdvIntel, Conti “ya no puede apoyar adecuadamente y ser chantajeado” debido a su lealtad pública a Rusia en los primeros días de la invasión rusa de Ucrania, y cree que el grupo se está desvaneciendo. El sitio web oficial de la pandilla y el sitio del servicio de chat se apagaron, mientras que otra infraestructura, desde salas de chat hasta mensajeros y servidores hasta proxies, se sometió a un restablecimiento completo.
Como resultado, AdvIntel cree que la pandilla ha formado alianzas con otros grupos de ransomware, incluido Hive, una operación de ransomware como servicio (RaaS) que ha estado activa desde al menos junio de 2021.
Brett Callow, un experto en ransomware y analista de amenazas de Emsisoft, le dice a TechCrunch: “La misma persona podría ser un afiliado de Conti y Hive, y posiblemente de otras operaciones de RaaS. También es posible que Conti y Hive hayan establecido una relación de trabajo, como otros han afirmado los investigadores.
“Algunas firmas negociadoras se negaron a hacer negocios con Conti después de que se pusieron del lado de Rusia y amenazaron con ataques a la infraestructura crítica de EE. UU. debido al riesgo de complicaciones de OFAC/sanciones. Por lo tanto, no es improbable que el equipo central y/o los afiliados quieran que los ataques sean vinculado a otro ransomware”.