Jorge Mora, der Chef der digitalen Verwaltung von Costa Rica, erhielt im April eine Nachricht von einem seiner Beamten: „Wir konnten es nicht eindämmen und sie haben die Server verschlüsselt. Wir haben das gesamte Ministerium abgeschaltet.“
Er wurde über einen erschütternden Cyber-Angriff einer berüchtigten russischen Ransomware-Gruppe namens Conti auf dem Laufenden gehalten, die im Finanzministerium des zentralamerikanischen Landes begann und schließlich 27 verschiedene Ministerien in eine Reihe miteinander verflochtener Angriffe verwickelte, die sich über Wochen hinzogen.
Der Angriff war laut einem westlichen Beamten „in seinem Ausmaß beeindruckend“. Normalerweise gelingt es Hackern, sich Zugang zu einzelnen Systemen zu verschaffen, aber der Fall von Costa Rica verdeutlicht das Risiko, das eine schwache Cybersicherheit für die gesamte IT-Infrastruktur eines Landes darstellt. In Costa Rica hatte Conti Wochen, wenn nicht Monate damit verbracht, in seinen Regierungssystemen herumzustöbern und von einem Ministerium zum anderen zu springen.
Conti bot an, die Daten zurückzugeben: zu einem Preis von bis zu 20 Millionen Dollar. Doch die Regierung Costa Ricas weigerte sich, das Lösegeld zu zahlen. Stattdessen erklärte der neu eingesetzte Präsident Rodrigo Chaves den nationalen Notstand, startete eine Jagd nach angeblichen „Verrätern“ und stützte sich auf technisch versierte Verbündete wie die USA und Spanien, um ihm zu Hilfe zu kommen.
„Wir befinden uns im Krieg, und das ist keine Übertreibung“, sagte Chaves in den Tagen nach seiner Amtseinführung Mitte Mai und beschuldigte die vorherige Regierung, das wahre Ausmaß der Störung, die er mit Terrorismus verglich, zu verschleiern.
Die Pattsituation ließ Teile der digitalen Infrastruktur Costa Ricas monatelang lahmlegen, lähmte die Online-Steuererhebung, störte das öffentliche Gesundheitswesen und die Bezahlung einiger Beschäftigter des öffentlichen Sektors.
In der Zwischenzeit waren die schattenhaften Peiniger Costa Ricas selbst erschöpfte Kräfte, Opfer geopolitischer Rivalitäten in der Hackerwelt, die durch den Krieg in der Ukraine entzündet worden war. Nachdem die Gruppe am 24. Februar ihre Unterstützung für die russische Invasion erklärt hatte, wurde sie von einem ihrer Insider verraten, angeblich einem ukrainischen Auftragshacker, der als Vergeltung ihre Toolkits, internen Chats und andere Geheimnisse online preisgab.
Während Costa Rica weiterhin mit den Folgen des Cyberangriffs zu kämpfen hat, war laut Toby Lewis, Leiter der Bedrohungsanalyse bei Darktrace, einem Cybersicherheitsunternehmen, ein Großteil von Conti nach dem Leck weggeschmolzen.
„Anfang 2022 waren wir auf ein weiteres Jahr für eine Gruppe wie Conti in ihrer Blütezeit eingestellt und verdienten ziemlich viel Geld“, sagte Lewis. „Als Russland in die Ukraine einmarschierte, endete alles. Russland zu unterstützen, war in geschäftlicher Hinsicht die schlechteste Entscheidung, die sie jemals hätten treffen können.“
Contis wirkungsvollster Angriff erwies sich als der letzte. Bis Ende Juni wurde die öffentlich zugängliche Website von Conti, auf der sie Costa Rica und andere Opfer verspottet hatte, geschlossen, ebenso wie ihre Dark-Web-Verhandlungsseite, sagten Sicherheitsforscher.
Als sich die Angriffe entfalteten, sagte Mora, sein Team habe fast einen Monat lang kaum vier Stunden pro Nacht geschlafen, um den Fortschritt der Hacker durch andere Ministerien zu verlangsamen. Spanien schickte seine eigene Ransomware-Schutzsoftware MicroClaudia, die von seinem National Cryptologic Centre entwickelt wurde.
Die USA schickten Teams zur Unterstützung mit gespendeter Software und Fachwissen von Microsoft, IBM und Cisco, und das US-Außenministerium setzte ein Kopfgeld von bis zu 15 Millionen Dollar aus, um Conti oder seine Unterstützer vor Gericht zu stellen.
Mora wies die Kritik von Chaves zurück und sagte, ohne ihr Arbeitstempo und ihre Zusammenarbeit nach dem Angriff hätten „wir 50 Fälle wie das Finanzministerium gehabt“.
Aber die Bemühungen Costa Ricas, die Kontrolle über ihre IT-Systeme wiederzuerlangen, gingen mit dem Untergang von Conti einher, was ihre Bemühungen weiter erschwerte. Ein westlicher Beamter, der über die Ermittlungen informiert wurde, sagte, selbst wenn Chaves zugestimmt hätte, das Lösegeld zu zahlen, das zwischen 20 und 1 Million Dollar schwankte, sei „nicht klar, wer am anderen Ende der Leitung war. Im Juni ging bildlich gesprochen niemand mehr ans Telefon.“
„Conti in Costa Rica war ein ziemlich verzweifelter letzter Versuch, irgendeine Art von Titel zu erlangen, einige schwirren um ihre Aktionen herum“, sagte Shmuel Gihon, ein Sicherheitsforscher bei Cyberint mit Sitz in Israel.
Einst auf etwa 400 Hacker plus eine unbekannte Anzahl von Tochtergesellschaften geschätzt, die ihr Toolkit mieteten – die der russischen Hacking-Tochter im Jahr 2021 Hunderte Millionen Dollar in Kryptowährung von mindestens 600 Zielen eingebracht hatten – war Conti bald auf ein paar Dutzend Wochen geschrumpft nach dem Angriff von Costa Rica.
Aber es gibt Anzeichen dafür, dass es sich in verschiedenen Formen neu gruppiert. Dazu gehört eine Gruppe namens BlackBasta, die innerhalb weniger Monate nach ihrer Entstehung 50 Organisationen getroffen hat. Sicherheitsforscher sagen, dass die Geschwindigkeit seiner Angriffe darauf hindeutet, dass Deserteure von Conti ihr Wissen über die IT-Infrastruktur ihres Opfers mit nach BlackBasta genommen haben.
Unterdessen kämpft Costa Rica weiterhin mit den Folgen des April-Hacks. Wie bei allen erfolgreichen Ransomware-Angriffen gibt es keine Möglichkeit, die eigenen Daten ohne einen Schlüssel der Angreifer zu entschlüsseln – die meisten Systeme müssen von Grund auf neu erstellt und Backups durchsucht werden, um sicherzustellen, dass sie nicht die ursprüngliche Malware enthalten. Dieser Prozess kann Monate dauern, wenn nicht ein oder zwei Jahre.
Bis vor kurzem mussten die Zollsysteme des Landes auf Papier und E-Mail zurückgreifen, was den gesamten Prozess verlangsamte, sagte Monica Segnini, Präsidentin der Grupo Desacarga, einem Unternehmen, das Import- und Exportdienste anbietet.
„Das bedeutet, dass man mehr für Container zahlt, die tagelang auf seit Jahren nicht genutzten Terrassen stehen müssen“, sagte sie und fügte hinzu, dass das Unternehmen seine Unternehmenssteuern freiwillig zahle, es aber keine Kontrollen gebe. „Wir bewegen uns in einer Grauzone.“
Ein hochrangiger Regierungsbeamter sagte, viele Systeme des Finanzministeriums seien inzwischen wiederhergestellt, einschließlich Zoll und Gehälter.
Für Costa-Ricaner wie Alejandra, 65, die an geistiger Beeinträchtigung leidet, verzögert sich die medizinische Behandlung, sagte ihr Mann in einem Interview. Ärzte können nicht auf ihre vorherige MRT zugreifen und müssen jetzt warten, bis sie darauf zugreifen können, sagte er.
Zulma Monge, Lehrerin für Naturwissenschaften und akademische Koordinatorin an einer technischen Hochschule in einem einkommensschwachen Viertel im Nordosten der Stadt, erhält 400.000 Colons weniger als ihr zusteht, weil das System Überstunden nicht verarbeiten kann.
Mit ihren Ersparnissen finanziert sie die Schulbildung ihrer beiden Kinder und die eigenen Kosten für ein Zweitstudium. „Das war noch nie zuvor passiert“, sagte sie, „in der [ministry] Sie geben uns keine Antworten darüber, wann das geschuldete Geld bezahlt wird.“
Auch der Prozess, weitere Angriffe zu verhindern, verlief nicht ganz reibungslos, räumte der für Wissenschaft, Innovation, Technologie und Telekommunikation zuständige Minister Carlos Alvarado Briceño ein.
Eine andere Hackergruppe namens Hive griff die Sozialversicherungsdienste des Landes an – die Verteidigungssoftware der spanischen Regierung war kaum eingesetzt worden, da nur 13 Einheiten von 20.000 installiert waren.
„Offensichtlich war der Präsident besorgt, und er war auch sehr verärgert. . . Wir hatten bereits zumindest einige Werkzeuge, um es einzudämmen, und es ist nicht passiert“, sagte Alvarado Briceño. „Unser Land hat dieses Thema in der Vergangenheit nicht so ernst genommen wie nötig. Was ist die gelernte Lektion? Sparen Sie nicht an der notwendigen Cybersicherheit in allen Institutionen.“