哥斯达黎加的公共卫生服务机构,即哥斯达黎加社会保障基金 (CCSS),在受到 Hive勒索软件的攻击后被迫下线。
CCSS在 Twitter 上的一份声明中表示,袭击于周二早上开始,正在进行调查。它补充说,包括统一数字医疗系统和集中税收系统在内的几个工资和养老金数据库没有受到攻击的影响。 CCSS 在给当地媒体的讲话中补充说,Hive 勒索软件已部署在 1,500 台政府服务器中的至少 30 台上,任何恢复时间的估计仍然未知。
CCSS 的几名员工表示,在他们所有的打印机开始吐出难以理解的文件后,他们被告知要关闭计算机。另一位员工说,由于这次攻击,目前无法报告 COVID-19 结果。
这次袭击发生在哥斯达黎加总统罗德里戈查韦斯宣布该国进入紧急状态以应对来自Conti 勒索软件组织的网络攻击之后的几周。 哥斯达黎加财政部是第一个受到与俄罗斯有关的黑客组织攻击的政府机构,查韦斯在 5 月 16 日的一份声明中表示,受影响的机构数量已增至 27 个。
在当时发布在其暗网泄密博客上的一条消息中,孔蒂敦促哥斯达黎加公民向政府施压,要求其支付赎金,该组织将赎金从最初的 1000 万美元翻倍至 2000 万美元。该组织在另一份声明中警告说:“我们决心通过网络攻击推翻政府,我们已经向你展示了所有的力量和力量。”
网络安全专家建议,最新的 Hive 勒索软件攻击背后的网络犯罪分子可能正在与 Conti 帮派合作,以帮助该组织重塑品牌并逃避针对在俄罗斯运营的网络犯罪分子敲诈勒索的国际制裁。
根据威胁情报公司AdvIntel的说法,由于在俄罗斯入侵乌克兰的头几天,孔蒂公开效忠俄罗斯,孔蒂“无法再充分支持和获得勒索”,并认为该组织正在关闭过程中。该团伙的官方网站和谈判服务网站已经关闭,而其余的基础设施:从聊天室到信使,从服务器到代理主机正在经历重大重置。
因此,AdvIntel 认为该团伙已与其他勒索软件组织结成联盟,包括 Hive,这是一种至少自 2021 年 6 月以来一直活跃的勒索软件即服务 (RaaS) 操作。
Emsisoft 的勒索软件专家和威胁分析师 Brett Callow 告诉 TechCrunch:“同一个人可能是 Conti 和 Hive 的附属机构,也可能是其他 RaaS 业务的附属机构。正如其他研究人员所声称的那样,Conti 和 Hive 也有可能建立了工作关系。
“一些谈判公司拒绝与孔蒂进行交易,因为他们站在俄罗斯一边,并威胁要攻击美国的关键基础设施,因为它们存在OFAC/制裁并发症的风险。因此,核心团队和/或附属机构不太可能希望将攻击归因于其他勒索软件操作。”