Le groupe de hackeurs prorusse Conti a bloqué plusieurs administrations essentielles du Costa Rica et exige le paiement d’une rançon. Une attaque qui, pour les chercheurs d’AdvIntel, n’est qu’une diversion.
Investi le 8 mai dernier, le nouveau président du Costa Rica Rodrigo Chaves fait déjà face à une crise majeure. Les hackers du groupe Conti sont parvenus à entrer dans 27 institutions gouvernementales. Des attaques de types ransomware qui ont permis de subtiliser des centaines de Go de données. Il n’en fallait pas moins pour plonger le pays dans le chaos. Et pour cause, les principaux organismes touchés sont l’agence nationale de santé publique, les systèmes interuniversitaires, la caisse des allocations familiales ou encore le ministère des Finances. Ce sont les données personnelles des contribuables, mais aussi les systèmes de paiement des impôts et les registres douaniers qui ont été impactés.
L’état d’urgence est déclaré
Conti, exige le paiement d'une rançon de 20 millions de dollars. Le président Rodrigo Chaves, qui s’est dit « en guerre », se refuse à payer et a décrété l’état d’urgence nationale. « L'attaque que subit actuellement le Costa Rica de la part de cybercriminels, est déclarée urgence nationale et nous signons ce décret, précisément, pour déclarer l'état d'urgence nationale dans tout le secteur public de l'État costaricien et permettre à notre société de répondre à ces attaques comme à des actes criminels », a-t-il déclaré. En guise de renfort, le gouvernement américain a mis sur la table une prime de 10 millions de dollars pour toute information permettant d’identifier et d’arrêter des membres de l’organisation.
Face au refus de l'exécutif à régler la note, Cotin a déjà publié la grande majorité des informations issues d'un bloc de 672 Go de données dérobées. Les hackers eux, ont lancé un appel en ligne aux costariciens afin qu'ils « descendent dans la rue et qu'ils exigent que leur gouvernement s'acquitte de la rançon », rapportent nos confrères de Siècles Digital. Conti menace également de lancer une autre attaque « d’une forme plus sérieuse » qui pourrait s'en prendre cette fois-ci au secteur privé.
Diversion et division
Malgré l'ampleur de l'attaque, des doutes subsistent quant aux réelles motivations de Conti. Et pour cause, selon un rapport d'AdvIntel publié le 20 mai dernier, le groupe serait à l'arrêt. D'après les chercheurs l’interface d’administration de Conti et les outils de négociations du groupe sont déconnectés depuis le 19 mai. Seul le site vitrine reste actif, mais il n’est plus qu’une « coquille vide ».
Et ce n'est pas un hasard. Après le soutien de Conti à la Russie de Vladimir Poutine dans sa guerre contre l’Ukraine, un hackeur ukrainien appartenant au groupe de pirates avait dévoilé des documents, des discussions, et des centaines d’adresse Bitcoin appartenant à des membres. Un coup de projecteur dont les hackeurs se seraient bien passés. Et depuis février 2022, Conti se faisait plus discret : « presque aucun paiement n'a été versé au groupe, tandis que le logiciel de blocage de Conti est devenu hautement détectable et a été rarement déployé », détaillent les chercheurs.
Diviser pour mieux régner
L'organisation elle, semble vouloir se détacher de la marque Conti devenue « toxique ». Elle aurait ainsi mis ces deux mois à profit pour détourner l'attention et activer des subdivisions comme KaraKurt, BlackByte, BlackBasta qui « ont commencé leurs opérations avant le début du processus de fermeture. Ces sous-groupes ont soit utilisé des alter ego Conti et des logiciels malveillants existants, soit en ont profité pour en créer de nouveaux. », détaillent les chercheurs.
L'attaque visant le Costa Rica servirait surtout dans un premier temps, à « contrôler le récit autour de la dissolution » de Conti. Un dernier coup d'éclat « à la hauteur du nom du groupe ». Mais aussi et surtout, cette opération vise à laisser le temps aux membres de Conti de se rabattre sur leurs positions arrière, pour reprendre des forces et se restructurer avant de plonger à nouveau dans la bataille, mais sous une nouvelle forme, plus décentralisée.