История успеха Conti: остановить жизнь целой страны и исчезнуть

Глава управления цифровыми технологиями Коста-Рики Джордж Мора в апреле получил сообщение от одного из своих чиновников: «Мы не смогли их сдержать, и они зашифровали серверы. Мы отключили все министерство».

Кибератака известной российской группировки Conti началась 18 апреля с министерства финансов Коста-Рики и в конечном итоге охватила 27 различных учреждений в результате серии взаимосвязанных атак, которые разворачивались в течение нескольких недель.

Conti предложила вернуть данные за $10 млн., но правительство Коста-Рики отказалось платить выкуп. Вместо этого новый президент Родриго Чавес объявил чрезвычайное положение в стране и начал охоту на предполагаемых участников группы внутри страны.

«Мы находимся в состоянии войны, и это не преувеличение», — сказал Чавес через несколько дней после своей инаугурации в середине мая и обвинил предыдущую администрацию в сокрытии истинных масштабов кибератак, которые он сравнил с терроризмом.

Атаки группы парализовали систему сбора налогов, нарушили работу инфраструктуры системы здравоохранения и лишили зарплаты некоторых государственных работников. Костариканцы не могли получить полноценную медицинскую помощь, поскольку электронные системы больниц были отключены .

Родриго Чавес обратился за помощью к более технически подкованным союзникам США и Испании. Для помощи Коста-Рике Испания прислала собственное ПО для защиты от программ-вымогателей MicroClaudia, разработанное Национальным криптологическим центром Испании (Centro Criptológico Nacional, CCN).

США бесплатно предоставили ПО от Microsoft, IBM и Cisco, а Госдепартамент США предложил вознаграждение в размере до $15 млн. за поимку хакеров, чтобы привлечь участников Conti к ответственности. На данный момент системы министерства финансов уже восстановлены, в том числе таможня и система выдачи зарплат.

Однако, после атаки на Коста-Рику группировка Conti распалась . Самая результативная и крупная атака Conti оказалась последней. По словам исследователей безопасности, в конце июня общедоступный веб-сайт Conti и сайт переговоров в даркнете были закрыты.

«Кампания Conti в Коста-Рике была отчаянной последней попыткой получить какой-либо титул, что вызвало ажиотаж вокруг их действий», — сказал Шмуэль Гихон, исследователь безопасности израильской компании Cyberint.

«В прошлом наша страна не относилась к этой теме так серьезно, как это требовалось. Какой урок мы извлекли? Не экономьте на обеспечении необходимой кибербезопасности во всех учреждениях », - признал Карлос Альварадо Брисефио, министр наук, инноваций, технологий и телекоммуникаций.