Conti勒索软件攻击使得哥斯达黎加进入紧急状态

哥斯达黎加总统Rodrigo Chaves在周末宣布哥斯达黎加进入国家网络安全紧急状态。此前他的政府机构受到Conti勒索软件集团出于财政动机所发起的软件攻击。此次攻击严重阻碍了这个拉丁美洲国家的政府运行和经济发展。

这次袭击由Conti勒索软件集团所负责，发生在三周前Chaves上任后不久。而事实上，紧急状态就是他作为总统所发布的第一批法令之一。根据一份已发布的报告显示，第一个受到攻击的政府机构是财政部，自4月18日以来，该部门一直无法提供数字服务。而其他受影响的哥斯达黎加机构包括劳动和社会保障部、科学、创新、技术和电信部、国家气象研究所等。截止目前，损坏的范围尚未统计公布。

根据报道，Conti勒索软件集团要求哥斯达黎加政府支付赎金1000万美元，以换取不向社会公布财政部被盗信息。据BleepingComputer报道，哥斯达黎加迄今已拒绝付款，此举导致Conti于周一更新了其数据泄露网站。该组织声称公布的内容包含了从哥斯达黎加政府机构窃取的信息的672 GB数据中的97%。

Conti——一个讲俄语的顶级勒索软件集团——被称为网络攻击游戏中最无情的帮派之一，采用无囚犯的方法，专门从事双重勒索，如果受害者不按时付款，则攻击者威胁要暴露被盗数据或将其用于未来的攻击。该集团以勒索软件即服务（RaaS）模式行事，拥有庞大的关联公司和访问经纪人网络来完成其肮脏的工作。该组织还以针对袭击可能造成生命后果的组织而闻名，如医院、紧急号码派遣承运人、紧急医疗服务和执法机构。

对哥斯达黎加的袭击可能是Conti即将发起更多网络威胁攻击的迹象，因为该组织在他们的新闻网站上向哥斯达黎加政府发布了一条消息，称这次袭击只是一个“演示版”。该组织还表示，这次袭击的动机完全是基于经济利益，同时也表达了普遍的政治厌恶，这是针对更多政府进行袭击的另一个信号。

次生危害

据一名安全专业人士观察，该事件表明，网络攻击可能与军事行动或自然灾害一样严重，特别是当它所针对的目标是像哥斯达黎加这样的发展中国家时。

安全公司Stairwell的首席逆向工程师Silas Cutler在给Threatpost的一封电子邮件中写道：在Conti发动袭击后，哥斯达黎加的紧急状态是给世界其他地区的重要号召。虽然紧急状态的直接影响可能有限......但是这一举动足以表明它将这一漏洞的严重性与自然灾害或军事事件归入同一类别。另一位安全专业人士也指出，不仅是Conti的双重威胁方法，而且许多其他勒索软件集团的方法也可以发动更多的勒索软件攻击，因为大多数目标组织将支付而不是风险泄露敏感数据作为对威胁行为者提供更多激励。

安全公司KnowBe4的数据驱动国防传教士Roger Grimes在给Threatpost的一封电子邮件中表示：【风险泄露敏感数据】是今天大多数受害者付款的一个重要原因。他说，勒索软件在系统内锁定文件之前，Conti可能拥有每个员工访问的任何哥斯达黎加政府网站的个人登录凭据，如果Conti确实泄露了信息，这对在线使用政府服务的公民来说是一个大问题。Grimes同时表示：如果哥斯达黎加政府在受损的域中托管面向客户的网站，那么客户的凭证（这些凭据经常会被在客户访问的其他网站和服务上重复使用）也可能被盗。那么不支付赎金不仅会危及哥斯达黎加自己的服务，还会危及其员工和客户的服务。

事实上，去年Conti集团在发动勒索软件攻击该市政府后，就在暗网上泄露了约18,000份城市文件，其中大多数是警方咨文。因此塔尔萨市也对其居民发布警告，让城市居民对该市存在的潜在网络欺诈保持警惕。

美国提供援助

为了帮助防止未来再度发起对哥斯达黎加的袭击一样，美国政府上周表示，它将为导致识别和/或定位Conti集团任何领导人的信息提供高达1000万美元的巨额奖励。美国还将提供高达500万美元的信息悬赏，这些信息可能导致任何阴谋实施Conti勒索软件攻击的人被捕或定罪。

据联邦调查局称，到目前为止，Conti集团在过去两年中宣布对数百起勒索软件事件负有责任，共有1000多名受害者向该组织支付了超过1.5亿美元的赎金。据联邦调查局称，这使Conti集团获得了不光彩的荣誉，即成为有史以来最昂贵的勒索软件菌株。

安全专业人士指出，当当局追捕Conti集团时，政府需要采取一些措施来防止勒索软件攻击。安全公司Cerberus Sentinel解决方案架构副总裁Chris Clements表示，在网络安全方面，需要采取一种文化变革。他在给Threatpost的一封电子邮件中说，政府应该将重点从网络安全作为“IT成本中心”的历史心态转移到将其视为“一种文化根深蒂固的方法，将工具和人员方面的网络安全投资确定为关键的战略防御盾牌”。他还认为：在这种变化之前，网络攻击问题将会在好转之前会变得更糟。

同时Cutler建议，政府还可以采取积极主动的步骤，例如进行周边审查，以减轻Conti附属访问经纪人渗透系统的一些方法。这可以更好地保护他们的周边环境，并允许他们对攻击做出更快的反应。然而他也指出，鉴于像Conti这样的RaaS集团拥有破坏系统的关联公司和访问经纪人网络，即使采取上述方法也不会完全防止此类攻击。