De beruchte Conti-ransomwarebende, die vorige maand een aanval uitvoerde op Costa Ricaanse administratieve systemen, heeft gedreigd de nieuwe regering van het land omver te werpen.
“We zijn vastbesloten om de regering omver te werpen door middel van een cyberaanval, we hebben jullie al alle kracht en macht getoond”, aldus de groep op haar officiële website. “We hebben onze insiders in uw regering. We zijn ook bezig om toegang te krijgen tot uw andere systemen, u heeft geen andere keuze dan ons te betalen.”
In een verdere poging om de druk op te voeren, heeft het Russisch sprekende cybercriminaliteitssyndicaat zijn losgeldeis verhoogd tot $ 20 miljoen in ruil voor een decoderingssleutel om hun systemen te ontgrendelen.
Een ander bericht dat dit weekend op zijn dark web-portal werd geplaatst, gaf de waarschuwing dat het de decoderingssleutels binnen een week zal verwijderen, een stap die het voor Costa Rica onmogelijk zou maken om de toegang tot de door de ransomware versleutelde bestanden te herstellen.
“Ik doe een beroep op elke inwoner van Costa Rica, ga naar uw regering en organiseer bijeenkomsten zodat ze ons zo snel mogelijk zouden betalen als uw huidige regering de situatie niet kan stabiliseren? Misschien is het de moeite waard om het te veranderen?”, luidde het bericht.
De verwoestende aanval, die vond plaats op 19 april heeft de nieuwe regering de noodtoestand afgekondigd, terwijl de groep grote hoeveelheden gegevens heeft gelekt die van de geïnfecteerde systemen waren gestolen voordat ze werden versleuteld.
Conti schreef de inbraak toe aan een gelieerde acteur genaamd “UNC1756”, die de bijnaam dreigingsinformatiebedrijf Mandiant nabootst die toewijst aan niet-gecategoriseerde bedreigingsgroepen.
Partners zijn hackgroepen die toegang huren tot reeds ontwikkelde ransomware-tools om inbreuken op bedrijfsnetwerken te orkestreren als onderdeel van wat een ransomware-as-a-service wordt genoemd (RaaS) gig-economie, en verdeel vervolgens de inkomsten met de operators.
Gekoppeld aan een dreigingsactor die bekend staat als Gold Ulrick (ook bekend als Grim Spider of UNC1878), bleef Conti zich richten op entiteiten over de hele wereld, ondanks het feit dat hij eerder dit jaar zelf een enorm datalek had opgelopen in de nasleep van zijn publieke steun aan Rusland in de voortdurende oorlog tegen Oekraïne.
De beveiligingsafdeling van Microsoft, die de cybercriminele groep volgt onder het cluster DEV-0193, noemde Conti de “meest productieve ransomware-geassocieerde cybercriminele activiteitengroep die momenteel actief is”.
“De acties van DEV-0193 en het gebruik van de cybercriminele gig-economie betekent dat ze vaak nieuwe leden en projecten toevoegen en aannemers gebruiken om verschillende delen van hun inbraken uit te voeren”, Microsoft Threat Intelligence Center (MSTIC) zei.
“Aangezien andere malware-operaties om verschillende redenen zijn stopgezet, waaronder juridische acties, heeft DEV-0193 ontwikkelaars van deze groepen ingehuurd. Het meest opvallend zijn de overnames van ontwikkelaars van Emotet, Qakbot en IcedID, waardoor ze onder de DEV-0193-paraplu kwamen. “
De eindeloze aanvallen hebben er ook toe geleid dat het Amerikaanse ministerie van Buitenlandse Zaken beloningen tot 10 miljoen dollar heeft aangekondigd voor alle informatie die leidt tot de identificatie van belangrijke personen die deel uitmaken van het cybercriminaliteitskartel.
