Jorge Mora, capo della governance digitale del Costa Rica, ha ricevuto ad aprile un messaggio da uno dei suoi funzionari: “Non siamo riusciti a contenerlo e hanno crittografato i server. Abbiamo disconnesso l’intero ministero”.

È stato aggiornato su uno straziante attacco informatico da un famigerato gruppo di ransomware russo chiamato Conti, che ha iniziato presso il ministero delle finanze del paese centroamericano e alla fine ha intrappolato 27 diversi ministeri in una serie di attacchi interconnessi che si sono dispiegati nel corso di settimane.

L’attacco è stato “impressionante nella sua portata”, secondo un funzionario occidentale. Di solito, gli hacker riescono ad accedere a singoli sistemi, ma il caso del Costa Rica mette in evidenza il rischio rappresentato da una debole sicurezza informatica per l’intera infrastruttura IT di una nazione. In Costa Rica, Conti aveva trascorso settimane, se non mesi, a scavare nei suoi sistemi di governo, saltando da un ministero all’altro.

Conti si è offerto di restituire i dati: a un prezzo fino a 20 milioni di dollari. Ma il governo del Costa Rica ha rifiutato di pagare il riscatto. Invece, il nuovo presidente Rodrigo Chaves ha dichiarato un’emergenza nazionale, ha lanciato una caccia a presunti “traditori” e si è appoggiato ad alleati più esperti di tecnologia come Stati Uniti e Spagna per venire in suo aiuto.

“Siamo in guerra, e questa non è un’esagerazione”, ha detto Chaves nei giorni successivi al suo insediamento a metà maggio, incolpando la precedente amministrazione di nascondere la vera portata dell’interruzione, che ha paragonato al terrorismo.

La situazione di stallo ha lasciato parti dell’infrastruttura digitale del Costa Rica paralizzate per mesi, paralizzando la riscossione delle tasse online, interrompendo la sanità pubblica e la retribuzione di alcuni lavoratori del settore pubblico.

Nel frattempo, gli oscuri aguzzini del Costa Rica erano essi stessi una forza esaurita, vittime delle rivalità geopolitiche nel mondo degli hacker che era stato infiammato dalla guerra in Ucraina. Dopo aver dichiarato il proprio sostegno all’invasione russa il 24 febbraio, il gruppo è stato tradito da uno dei suoi addetti ai lavori, presumibilmente un hacker ucraino a noleggio, che ha fatto trapelare i loro toolkit, chat interne e altri segreti online per rappresaglia.

Mentre il Costa Rica continua ad affrontare le conseguenze dell’attacco informatico, gran parte di Conti si è dissolta dopo la fuga di notizie, secondo Toby Lewis, capo dell’analisi delle minacce presso Darktrace, un’azienda di sicurezza informatica.

“All’inizio del 2022, eravamo programmati per un altro anno per un gruppo come Conti nel loro periodo d’oro, guadagnando somme di denaro piuttosto significative”, ha detto Lewis. “Quando la Russia ha invaso l’Ucraina, tutto è finito. Sostenere la Russia è stata, in termini di affari, la peggiore decisione che avrebbero mai potuto prendere”.

L’attacco di maggior impatto di Conti si è rivelato essere l’ultimo. Entro la fine di giugno, il sito web di Conti, dove aveva deriso il Costa Rica e altre vittime, è stato chiuso, così come il suo sito di negoziazione sul dark web, hanno affermato i ricercatori della sicurezza.

Mentre gli attacchi si sviluppavano, Mora ha detto che il suo team ha dormito a malapena quattro ore a notte per quasi un mese per rallentare i progressi degli hacker attraverso altri ministeri. La Spagna ha inviato il proprio software di protezione dal ransomware MicroClaudia, che è stato sviluppato dal suo National Cryptologic Center.

Gli Stati Uniti hanno inviato squadre per assistere, con la donazione di software e competenze di Microsoft, IBM e Cisco, e il dipartimento di stato americano ha offerto una taglia fino a 15 milioni di dollari per assicurare Conti o i suoi sostenitori alla giustizia.

Respingendo le critiche di Chaves, Mora ha affermato che senza il loro ritmo di lavoro e cooperazione dopo l’attacco, “avremmo avuto 50 casi come il ministero delle finanze”.

Ma gli sforzi del Costa Rica per riprendere il controllo dei propri sistemi IT si sono affiancati alla scomparsa di Conti, complicando ulteriormente i loro sforzi. Un funzionario occidentale che è stato informato delle indagini, ha affermato che anche se Chaves avesse accettato di pagare il riscatto, che variava da $ 20 milioni a un minimo di $ 1 milione, “non è chiaro chi fosse dall’altra parte della linea. A giugno nessuno rispondeva al telefono, in senso figurato”.

“Conti in Costa Rica è stato in qualche modo un ultimo disperato tentativo di ottenere qualsiasi tipo di titolo, un po’ di entusiasmo intorno alle loro azioni”, ha affermato Shmuel Gihon, un ricercatore di sicurezza presso la Cyberint, con sede in Israele.

Una volta stimato in circa 400 hacker più un numero imprecisato di affiliati che stavano affittando il loro toolkit – che nel 2021 aveva fruttato all’affiliato di hacker russo centinaia di milioni di dollari in criptovalute da almeno 600 obiettivi – Conti è presto sceso a poche dozzine in poche settimane dopo l’attacco in Costarica.

Ma ci sono segni che si sta raggruppando in diverse forme. Ciò include un gruppo chiamato BlackBasta, che in pochi mesi dall’emergere ha colpito 50 organizzazioni. I ricercatori di sicurezza affermano che la velocità dei suoi attacchi suggerisce che i disertori di Conti avevano portato con sé a BlackBasta la conoscenza dell’infrastruttura IT della loro vittima.

Nel frattempo, il Costa Rica continua a confrontarsi con le conseguenze dell’hacking di aprile. Come in tutti gli attacchi ransomware riusciti, non c’è modo di decrittografare i propri dati senza una chiave da parte dei suoi aggressori: la maggior parte dei sistemi deve essere ricostruita da zero, con backup scansionati per assicurarsi che non includano il malware originale. Questo processo può richiedere mesi, se non un anno o due.

Fino a poco tempo, i sistemi doganali del Paese dovevano ricorrere all’uso di carta ed e-mail, rallentando l’intero processo, ha affermato Monica Segnini, presidente del Grupo Desacarga, società che fornisce servizi di import ed export.

“Significa che paghi di più per i container che devono rimanere per giorni su patii che non venivano utilizzati da anni”, ha detto, aggiungendo che la società stava pagando le tasse sulle società volontariamente ma non c’erano controlli. “Stiamo operando in una zona grigia”.

Un alto funzionario del governo ha affermato che molti dei sistemi del ministero delle finanze sono stati ripristinati, comprese le dogane e gli stipendi.

Per i costaricani come Alejandra, 65 anni, che soffre di capacità mentali ridotte, il trattamento medico è in ritardo, ha detto suo marito in un’intervista. I medici non possono accedere alla sua precedente risonanza magnetica e ora devono aspettare di accedervi, ha affermato.

Zulma Monge, insegnante di scienze e coordinatrice accademica in un istituto tecnico in un quartiere a basso reddito nel nord-est della città, viene pagata 400.000 colon in meno di quanto dovuto perché il sistema non può gestire gli straordinari.

Sta usando i suoi risparmi per pagare la scuola dei suoi due figli e le sue spese di secondo grado. “Non era mai successo prima”, ha detto, “Nel [ministry] non ci danno risposte su quando sarà pagato il denaro dovuto”.

Anche il processo di prevenzione di ulteriori attacchi non è stato del tutto fluido, ha ammesso Carlos Alvarado Briceño, ministro responsabile della Scienza, dell’Innovazione, della Tecnologia e delle Telecomunicazioni.

Un altro gruppo di hacker chiamato Hive ha attaccato i servizi di sicurezza sociale del paese: il software difensivo del governo spagnolo era stato a malapena utilizzato, con solo 13 unità su 20.000 installate.

“Ovviamente il presidente era preoccupato, ed era anche molto seccato. . . avevamo già almeno alcuni strumenti per poterlo contenere e non è successo”, ha detto Alvarado Briceño. “Il nostro Paese in passato non aveva preso questo argomento così seriamente come richiesto. Qual è la lezione appresa? Non lesinare sull’avere la sicurezza informatica necessaria in tutte le istituzioni”.