L’agence de santé publique du Costa Rica victime du ransomware Hive
En quelques semaines, les services publics du Costa Rica ont subi deux attaques informatiques différentes, une première par le ransomware Conti, et une seconde qui vient de se produire, par le ransomware Hive. Faisons le point.
Suite à une attaque informatique avec le ransomware Hive, tous les ordinateurs du réseau du service de santé publique du Costa Rica (CCCS) sont désormais hors ligne. Début Mai, le Costa Rica a déjà subi une attaque informatique par les membres du groupe Conti, et le CCCS faisait déjà partie des entités gouvernementales touchées même s'il y en avait d'autres tel que le ministère de la Finance, le ministère des Sciences, etc.
D'ailleurs, suite à cette première attaque, le nouveau Président du Costa Rica avait basculé le pays en état d'urgence, tout en prenant la décision de ne pas payer la rançon de 10 millions de dollars réclamée par le gang Conti. De son côté, les États-Unis ont apporté leur soutien en promettant une récompense pouvant atteindre 15 millions de dollars en échange de renseignements sur les leaders du groupe Conti.
Revenons à cette nouvelle attaque par le ransomware Hive, un logiciel malveillant qui fait régulièrement parler de lui et qui est disponible selon le modèle "ransomware-as-a-service".
Dans un premier temps, le CCCS a publié ce tweet pour informer de l'incident en cours : "La CCCS a été victime d'un piratage dès le début de la matinée de mardi. Le piratage a eu lieu aux premières heures du mardi 31 mai. Les analyses correspondantes sont en cours de réalisation. Les bases de données de l'EDUS, du SICERE, des salaires et des pensions n'ont pas été compromises". C'est tout de même rassurant en ce qui concerne une éventuelle fuite de données au sujet des Costaricains.
Sur site, les employés ont reçu la consigne d'éteindre leurs ordinateurs et de les débrancher du réseau, car lorsque l'attaque a commencé, toutes les imprimantes ont commencé à imprimer des dizaines et des dizaines de pages. Désormais, des opérations sont en cours pour tenter de restaurer les différents services les uns après les autres, mais le CCCS n'a pas donné de délais.
Il y a de très fortes chances pour que ces deux attaques soient liées, et certains membres du groupe Conti ont probablement recréé un petit groupe de cybercriminels qui est à l'origine de cette attaque avec le ransomware Hive. En tout cas, c'est une possibilité. D'ailleurs, Yelisey Boguslavskiy de chez Advanced Intel indique : "AdvIntel a identifié et confirmé avec un haut niveau de certitude que Conti travaille avec HIVE depuis plus de six mois - depuis au moins novembre 2021. Nous avons identifié des preuves solides de l'utilisation active par HIVE des accès initiaux fournis par Conti et des services des pentesters de Conti.", et il ajoute également : "Les mêmes personnes travaillaient à la fois pour Conti et pour HIVE, comme le montre la liste des victimes qui sont identiques sur les blogs de HIVE et de Conti.".
En espérant que le CCCS du Costa Rica parvienne à restaurer ses et à en finir avec cette série d'attaques, notamment en améliorant la sécurité des différents systèmes informatiques utilisés par l'ensemble des entités gouvernementales. Ce magnifique pays ne mérite pas ça ! 🙂