Le célèbre gang de rançongiciels Conti, qui a lancé le mois dernier une attaque contre les systèmes administratifs du Costa Rica, a menacé de « renverser » le nouveau gouvernement du pays.
« Nous sommes déterminés à renverser le gouvernement au moyen d’une cyberattaque, nous vous avons déjà montré toute la force et la puissance », a déclaré le groupe sur son site officiel. « Nous avons nos initiés dans votre gouvernement. Nous travaillons également pour avoir accès à vos autres systèmes, vous n’avez pas d’autre choix que de nous payer. »
Dans une nouvelle tentative d’augmenter la pression, le syndicat russophone de la cybercriminalité a augmenté sa demande de rançon à 20 millions de dollars en échange d’une clé de déchiffrement pour déverrouiller leurs systèmes.
Un autre message publié sur son portail Web sombre au cours du week-end a émis un avertissement indiquant qu’il supprimerait les clés de déchiffrement dans une semaine, une décision qui empêcherait le Costa Rica de récupérer l’accès aux fichiers chiffrés par le rançongiciel.
« J’appelle tous les résidents du Costa Rica, allez voir votre gouvernement et organisez des rassemblements afin qu’ils nous paient le plus tôt possible si votre gouvernement actuel ne parvient pas à stabiliser la situation ? Peut-être que cela vaut la peine de le changer ? », disait le message.
L’attaque dévastatrice, qui a eu lieu le 19 avril, a amené le nouveau gouvernement à déclarer l’état d’urgence, tandis que le groupe a divulgué des trésors de données volées sur les systèmes infectés avant le cryptage.
Conti a attribué l’intrusion à un acteur affilié surnommé « UNC1756 », imitant le surnom que la société de renseignement sur les menaces Mandiant attribue à des groupes de menaces non catégorisés.
Les affiliés sont des groupes de piratage qui louent l’accès à des outils de ransomware déjà développés pour orchestrer des intrusions dans les réseaux d’entreprise dans le cadre de ce qu’on appelle un ransomware-as-a-service (RaaS) gig economy, puis partagez les gains avec les opérateurs.
Lié à un acteur menaçant connu sous le nom de Gold Ulrick (alias Grim Spider ou UNC1878), Conti a continué de cibler des entités à travers le monde malgré sa propre fuite massive de données plus tôt cette année à la suite de son soutien public à la Russie dans le pays. guerre en cours contre l’Ukraine.
La division de sécurité de Microsoft, qui suit le groupe cybercriminel sous le cluster DEV-0193, a qualifié Conti de « groupe d’activités cybercriminelles associées aux ransomwares le plus prolifique actif aujourd’hui ».
« Les actions de DEV-0193 et l’utilisation de l’économie des cybercriminels signifient qu’ils ajoutent souvent de nouveaux membres et projets et utilisent des sous-traitants pour effectuer diverses parties de leurs intrusions », Microsoft Threat Intelligence Center (MSTIC) mentionné.
« Alors que d’autres opérations de logiciels malveillants ont cessé pour diverses raisons, y compris des actions en justice, DEV-0193 a embauché des développeurs de ces groupes. Les plus notables sont les acquisitions de développeurs d’Emotet, Qakbot et IcedID, les amenant au parapluie DEV-0193. «
Les attaques interminables ont également conduit le département d’État américain à annoncer des récompenses pouvant atteindre 10 millions de dollars pour toute information permettant d’identifier des individus clés faisant partie du cartel de la cybercriminalité.