De nombreuses institutions gouvernementales du Costa Rica ont été touchées par des cyberattaques. La première attaque s’est déroulée vers le 12 avril, mais n’a toutefois été révélée au public qu’en mai. Depuis cette date, les services informatiques du pays n’ont cessé de subir des agressions de plus en plus fortes.

Le 16 avril, le site de relations publiques du ransomware ContiNews a annoncé la nouvelle victime du gang. La cible n’était autre que le Ministère des Finances du Costa Rica.

Le 21 avril, la publication a été mise à jour avec des liens de deux autres institutions compromises. Cette fois-ci, c’était au tour du Ministère du Travail et de la Sécurité sociale. La Caisse de développement social et d’allocations familiales a été également touchée par l’attaque.

Le 25 avril, une autre entité a été ajoutée à la liste des victimes : le siège interuniversitaire de la province d’Alajuela. En parallèle, la menace de cyberattaque contre des entreprises privées du pays s’est confirmée.

Le 8 mai, la situation n’était pas encore revenue à la normale durant l’investiture du nouveau président Rodrigo Chaves. Les systèmes informatiques de sécurité sociale et de l’emploi présentaient toujours quelques dysfonctionnements. Cela entraînait l’état d’urgence du pays le 11 mai, annoncé par le chef de l’Etat récemment élu.

La première rançon exigée s’élevait à 10 millions de dollars sous peine d’une publication des documents volés par les hackers. Le gouvernement du Costa Rica a cependant refusé ce chantage. En représailles, le groupe Conti a fait monter les enchères en doublant la somme.

Les attaques semblent avoir été orchestrées par une filiale des systèmes ransomware-as-a-Service (RaaS) de DarkSide et Conti. Cette dernière s’est alliée à plusieurs cybercriminels dont le fameux UNC1756, groupe des pirates informatiques à l’origine du ransomware Hive.

Les motivations de ces infiltrations informatiques sont purement motivées par l’argent selon ces deux groupes. Aucun gouvernement ni autre entité ne serait à l’origine de ces attaques numériques. Ces associations restent néanmoins considérées comme des actifs semi-autonomes des services de renseignement russes.

Par ailleurs, il faut noter qu’UNC1756 a choisi de publier 97% des données volées durant l’opération. Celui-ci menace toutefois le Costa Rica de nouvelles attaques plus intenses et sérieuses.  Cette fois-ci, le danger se porte sur les institutions gouvernementales ainsi que les grandes entreprises du pays. D’après le groupe, l’Etat costaricain n’était autre qu’une version de démonstration.

Qui est UNC1756 à l’origine des cyberattaques ?

hackerUNC1756 tire son appellation du surnom que la société de renseignement sur les menaces Mandiant attribue à des entités non classées. Il s’agit d’une association affiliée au groupe Conti qui se compose principalement de pirates informatiques. Ces derniers louent généralement un accès à des outils de ransomwares déjà opérationnels pour effectuer leurs opérations. Leur partenariat repose sur l’utilisation du système ransomware-as-a-service (RaaS) gig economy afin de partager les gains.  

UNC1756, avec cette identité, semble être un nouveau venu dans le milieu de la cybercriminalité. C’est ce que révèle le site de relations publiques de Conti sur une mise à jour de l’annonce du Costa Rica. Celle-ci inclut, en effet, un lien pointant vers l’URL du forum populaire russe Exploit qui mentionne l’existence de ce groupe.

D’après ce réseau, un utilisateur au nom d’UNC1756 a commencé son activité au début du mois de mars 2022. Celui-ci a toutefois fermé son compte juste un mois après son inscription faute de demande. A rappeler que le jour même de son adhésion, l’association a publié une offre d’emploi lors de son premier message.

UNC1756 proposait différents services liés aux ransomwares comme l’accès aux réseaux d’entreprise. Il en est de même de la reconnaissance de la structure du réseau ainsi que des sauvegardes. L’intrusion et le téléchargement de bases de données figurent aussi parmi ses offres. Ces prestations ont néanmoins reçu des critiques positives bien qu’elles n’interviennent pas contre des entreprises en CEI et en Chine.  

UNC1756 a fermé son service deux jours après l’annonce de la première attaque contre le ministère des Finances costaricain. Leur article suivant, édité le 18 avril, propose un accès à des données spéciales du Costa Rica à vendre. C’est probablement à cette date que le groupe Conti a commencé à recruter UNC1756 dans les coulisses.

Entre-temps, l’association de pirates informatiques discute avec des cybercriminels sur la vulnérabilité du SMBGhost 2020 (CVE-2020-0796). Son activité mentionne également des messages et des recherches concernant l’utilisation de l’AdFind, l’accès au réseau CISCO et Web Shell.

Le 10 mai, UNC1756 propose à nouveau ses services en mentionnant qu’une récompense leur est maintenant attribuée. Cela fait sans doute référence à la prime octroyée par les Etats Unis pour retrouver les membres de Conti. Le groupe a ensuite clos le sujet en évoquant de « faire une pause » compte tenu de la situation. Il est toutefois resté actif sur Exploit tout au long de la cyberattaque en Costa Rica en partageant des avis.   

Récemment, UNC1756 a revendiqué une autre cyberattaque contre Ruby Receptionists, une entreprise sans rapport avec le Costa Rica. Il en est de même pour l’annonce sur site de Conti implorant le peuple costaricien de protester contre le gouvernement. Dans ce message était précisé que le groupe UNC1756 se composait uniquement de deux personnes.