國家勒索：勒索軟件開啟新時代

在過去兩個月，哥斯達黎加一直身處困境，兩波重大的勒索軟件攻擊使該國多項基本服務陷入癱瘓，政府陷入混亂，無法做出有效響應。

這可能是迄今為止最嚴重的勒索軟件事件。哥政府官員表示，在勒索軟件侵擾下，該國國際貿易陷入停頓狀態；超過3萬次醫療預約被迫重新安排；稅務服務也被迫中斷。數以百萬計的哥斯達黎加人因勒索攻擊而損失慘重，受影響機構的工作人員只能轉用紙筆來完成工作。

哥斯達黎加總統羅德里戈·查韋斯·羅伯斯（Rodrigo Chaves Robles）在就職當日（5月8日）簽署了緊急狀態法令，宣布哥斯達黎加遭受網絡犯罪和網絡恐怖分子的侵擾，國家進入“網絡安全緊急狀態”。根據報道，從4月中旬到5月初，27個政府機構成為第一波攻擊活動的目標；5月底的第二波攻擊又使哥斯達黎加的醫療保健系統陷入了漩渦。作為應對，哥斯達黎加總統向勒索軟件攻擊背后的負責人“宣戰”。“我們處于戰爭狀態，這并不夸張。這是一場針對國際恐怖組織的戰爭。”

據悉，此次攻擊狂潮的核心力量是與俄羅斯有關的勒索軟件組織Conti。Conti也承認對第一波攻擊負責，但研究人員認為，第二波攻擊背后的勒索軟件即服務操作HIVE也與之存在聯系。

2021年，Conti依靠勒索收入超過1.8億美元，并有攻擊醫療保健組織的歷史。然而，在該組織宣布支持俄羅斯對烏克蘭的戰爭后，屬于該組織的數千條內部消息和文件慘遭泄露。

在Conti的1000多次勒索軟件攻擊中，針對哥斯達黎加的攻擊尤為突出。它標志著勒索軟件組織首次明確針對國家政府開展行動。在此過程中，Conti甚至呼吁推翻哥斯達黎加政府。Emsisoft威脅分析師布雷特?卡洛（Brett Callow）表示，“這可能是迄今為止最嚴重的勒索軟件事件。此前沒有要求聯邦政府支付贖金的情況，這無疑是第一次，是前所未有的。”

更重要的是，研究人員認為Conti厚顏無恥的行為可能只是冷酷無情的炫耀行為，其目的是在該組織逐漸落幕，其成員轉向其他勒索軟件工作時，最后一次吸引公眾的廣泛關注。

國家緊急狀態

第一波針對哥斯達黎加政府的勒索軟件攻擊始于4月10日。協助應對攻擊活動的該國科學創新技術與通信部（MICIT）前負責人Jorge Mora介紹，這一個星期，Conti都在研究財政部的系統。4月18日凌晨，財政部內部文件已被加密，兩個關鍵系統癱瘓——數字稅務服務和海關控制IT系，嚴重影響了的所有進出口服務。

哥斯達黎加網絡安全企業White Jaguars公司CEO兼創始人Mario Robles估計，財政部的數TB數據和800多臺服務器均受到影響。

除此之外，私營部門也受到了很大的影響。當地報道稱，進出口企業面臨集裝箱短缺問題，損失估計從每天3800萬美元到48小時內的1.25億美元不等。

網絡安全企業Soluciones Seguras公司駐哥斯達黎加負責人稱，“系統中斷使該國的進出口陷入癱瘓，對商業造成了重大沖擊。10天后，受影響組織的工作人員只能通過手動導入表格來工作，但大量文書工作非常低效耗時。”

針對財務部的攻擊僅僅是個開始。根據Mora分享的時間表顯示，在4月18日至5月2日期間，Conti幾乎每天都會試圖入侵不同的政府組織。布宜諾斯艾利斯市等市政當局，以及勞動和社會保障部在內的中央政府組織都淪為攻擊目標。不過，Conti的攻擊活動并非總是成功的。美國、西班牙以及一些私營公司幫助防御了Conti的部分攻擊，并提供了與該組織相關的軟件和IOC情報，給Conti攻擊帶來了很大阻力。值得一提的是，5月初，美國懸賞1000萬美元要求提供有關Conti領導層的信息。

5月8日，哥新總統正式開啟為期四年的任期，并立即宣布由于勒索軟件攻擊而進入“國家緊急狀態”，并稱攻擊者為“網絡恐怖分子”。5月16日，哥總統表示，第一輪攻擊中涉及的27家目標機構中有9家受到嚴重影響。負責監督攻擊響應活動的MICIT暫未回答有關恢復進展的問題。

White Jaguars公司的Robles稱，“所有的國家機構都沒有足夠的資源來響應攻擊和完成恢復。在恢復過程中，我們發現這些機構幾乎都在遺留軟件上運行，這也加劇了重啟服務的困難度。更糟糕的是，有些機構甚至無人從事網絡安全工作。”

MICIT前負責人Mora補充道，這些攻擊表明拉丁美洲國家需要提高其網絡安全彈性，制定法律強制網絡攻擊報告，并分配更多資源來保護公共機構。

但就在哥斯達黎加開始逐步掌控局面時，又一次慘遭重創。5月31日，第二波攻擊開始。負責組織醫療保健的哥斯達黎加社會保障基金（CCSS）系統下線，該國再次陷入新的混亂。這一次，與Conti存在一些聯系的HIVE勒索軟件成為幕后黑手。

這次攻擊對人們的生活產生了直接影響。醫療保健系統離線，打印機吐出垃圾。自此以后，患者抱怨治療延誤；CCSS警告，因攻擊無法查看等待手術的孩子信息;衛生服務部門也開始打印絕跡很久的紙質表格。

到6月3日，CCSS宣布進入“機構緊急狀態”。根據報道，1,500臺服務器中的759臺和10,400臺計算機受到影響。CCSS的發言人表示，醫院和緊急服務現在正常運行，其工作人員一直在努力維持基礎護理。然而，尋求醫療服務的人卻遭遇嚴重的服務中斷：截至6月6日，已重新安排了34,677次預約（這個數字僅占總預約的7%；總預約數高達484,215 次）。醫學影像、藥房、檢測實驗室和手術室一團混亂。

國家勒索時代

研究人員認為，Conti組織對哥斯達黎加的攻擊行動，是因為該國站在了烏克蘭的一邊。但專家指出，所有的跡象都指向了金錢。

Emsisoft 公司勒索軟件和威脅分析專家布雷特?卡洛認為，“沒有理由相信對哥斯達黎加的勒索攻擊還有經濟之外的動機。” Check Point公司研究副總裁瑪雅·霍洛維茨（Maya Horowitz ）表示，根據研究，Conti 的勒索計劃“非常有針對性，并且索要贖金也基于受害者的支付能力”。

哥國總統查韋斯將這次襲擊歸咎于其前任沒有在網絡安全上有足夠投資。目前尚不清楚哥斯達黎加究竟采取了哪些措施來阻止網絡攻擊，但該國數字治理主管豪爾赫·莫拉表示，由于部署了跨機構的“保護系統”，已經阻止了 400 萬次黑客攻擊。

但網絡安全專家分析，更有可能的是，哥斯達黎加只是不走運，它只是成為廣泛行動的一部分目標，而并非由于任何明顯的漏洞。

Synopsys Software軟件安全顧問 杰米·貝爾（Jamie Boote）表示：“這種情況反映出攻擊和防御的不對稱現實。只需要幸運一次，攻擊者就可以成功攻擊。如果1%的攻擊目標可以支付數百萬贖金，對數百個目標開展攻擊就是值得的。”

卡洛補充說，Conti也有可能將哥斯達黎加作為攻擊目標，因為美國和歐洲執法部門較為成功地擾亂了其攻擊行動。

“針對哥斯達黎加、秘魯等國家的攻擊，他們可能不會賺到太多錢，但他們也不希望自己成為數百萬美元的懸賞目標或讓美國網軍出現在自己的服務器里。收益越少，風險越小。至少他們可能這么認為。”

但有安全研究者認為，針對哥斯達黎加政府的攻擊，遠遠超出了純粹出于經濟動機的范圍，已演化成為地緣政治事件。哥斯達黎加政府宣布國家進入緊急狀態，同時與Conti進入戰爭狀態。一個國家宣布與網絡犯罪集團交戰，這是前所未有的情況。

網絡攻擊迅速升級，演變成廣泛的地緣政治事件。最終導致美國政府進行干預，并向哥斯達黎加政府提供支持。一方面，哥斯達黎加要求美國提供支持，美國國務院懸賞1000 萬美元，以獲得Conti組織領導人員的信息。另一方面，Conti組織針對哥斯達黎加勒索的言論，開始涉及美國政府及拜登總統，而不僅僅是哥斯達黎加人民與政府。

這種針對哥斯達黎加整個國家的勒索攻擊，意味著我們已經進入“國家勒索” 的新勒索軟件時代，它完全不同于過去針對政府機構的勒索攻擊——大多是針對地方市政機構的戰術攻擊，而不是針對關鍵政府服務的廣泛攻擊。

Conti組織對哥斯達黎加的“國家勒索”具有以下三個特點： 

• 網絡犯罪集團對國家的大量政府實體進行協同攻擊，導致海關、貨物進出口等關鍵服務中斷。
• “三重勒索” ——網絡犯罪分子通過哥斯達黎加人民向政府施壓，以促使政府支付贖金。
• 干預國家政治——Conti組織聲稱其目標是推翻民選政府，并鼓勵哥斯達黎加人走上街頭抗議政府。

Conti消亡

針對哥斯達黎加的兩次勒索軟件攻擊是否有關聯尚存疑問。然而，它們的出現可能預示著勒索軟件的面貌正在發生變化。最近，與俄羅斯有關的勒索軟件團伙已經改變了策略，以避免受到美國政府的制裁，并比平時更激烈地爭奪自己的領地。

Conti率先在博客上宣布了對哥斯達黎加財政部的攻擊，并公布了受害者的姓名。聲稱如果不支付贖金，還會進一步公布竊取的文件。自稱為unc1756（安全公司一般使用“UNC”縮寫來表示“未分類”的攻擊者）的攻擊者或團體也聲稱對這次攻擊負責。攻擊者要求支付1000萬美元作為贖金，后又將這個數字提高到2000萬美元。因未收到付款，又將672 GB的文件上傳到Conti的網站。

Conti的行為比平時更加古怪和令人不安——攻擊者開始涉足政治。Conti在博文中宣稱，“呼吁哥斯達黎加的每一位居民，到政府機構和組織那里集會。”在另一篇發給哥斯達黎加和“美國恐怖分子（拜登及其政府）”的帖子中，Conti還宣稱，“我們決心通過網絡攻擊推翻哥斯達黎加政府。”

安全公司Check Point的威脅情報部門負責人Sergey Shykevich表示，“此前從未見過網絡犯罪分子在公開場合發表這種針對政府的言論。在攻擊哥斯達黎加的同時，Conti還瞄準了秘魯財務部和情報機構。不過，他們的行為在俄語黑客論壇遭到了輿論譴責，因為涉足政治會引發各國政府對網絡犯罪組織的更多關注。”

一些人認為，Conti對哥斯達黎加的進攻可能是為了分散注意力。5月19日，網絡安全公司AdvIntel宣布，Conti的運營已終止，并稱該集團已于5月初開始拆除其品牌，但尚未解散組織結構。AdvIntel在簡報中稱，“Conti新聞網站的管理小組已被關閉。談判服務網站也出現故障，而其他基礎設施——從聊天室到即時通訊，從服務器到代理主機——都在經歷大規模重置。”

自從Conti表示支持俄羅斯對烏克蘭的戰爭，并威脅要攻擊任何針對俄羅斯的機構后，它的運營便舉步維艱。卡洛解釋稱，“Conti現在再想從美國攻擊受害者獲得贖金變得更加困難。由于擔心違反OFAC制裁（即Office of Foreign Assets Control, 海外資產控制辦公室，簡稱“OFAC”)，一些企業將不再與Conti進行交易，也不愿與Conti打交道，因為不希望被視為支持恐怖主義。”

ADVIntel認為，Conti無法得到充分支持并獲取勒索贖金，加速了該組織的滅亡。如今，Conti的服務仍處于離線狀態。針對哥斯達黎加的攻擊看起來更像是為Conti打掩護，掩蓋其正在重塑品牌并開始使用不同類型的勒索軟件的真相。

無論如何，Conti最后一次魯莽的公開行動可能會產生深遠影響。網絡犯罪分子可能不會定期攻擊國家政府，但Conti的行為無疑開啟了勒索軟件新時代，他們向世界證明：網絡犯罪集團可以對國家進行勒索！有組織網絡犯罪集團日益增長的力量，也讓人感覺并非遭遇了一場勒索攻擊，而是陷入了一場勒索戰爭。

原文鏈接：

https://www.wired.com/story/costa-rica-ransomware-conti/

文章來源：虎符智庫