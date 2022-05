De pas aangetreden nieuwe president Rodrigo Chaves van Costa Rica kon deze maand direct aan de bak. Door een aanval met zogenoemde gijzelsoftware is een groot deel van de landelijke overheid inmiddels een maand lamgelegd. Direct na zijn inauguratie op 8 mei riep Chaves, een conservatieve populist die in april de verkiezingen won, daarom de noodtoestand uit. Die maatregel, eigenlijk bedoeld voor oorlogen of natuurrampen, geeft de autoriteiten extra bevoegdheden en middelen om de crisis te bestrijden.

De cyberaanval begon half april, toen hackers IT-systemen van het minsterie van Financiën binnendrongen. Onder meer de douane en de fiscus werden getroffen, waardoor de Costaricaanse overheid momenteel veel belastingen niet kan innen. Ook het ministerie van Arbeid en het agentschap voor sociale zekerheid behoren tot de 27 getroffen instellingen.

Cybercriminelen gebruiken gijzelsoftware (of ransomware) om bestanden en computersystemen te versleutelen, waardoor die niet meer toegankelijk zijn. Tegen betaling, meestal in cryptovaluta, maken ze die versleuteling weer ongedaan. Afgelopen weekend verdubbelden de hackers het van Costa Rica gevraagde losgeld tot 20 miljoen dollar (ruim 19 miljoen euro), en dreigden ze de sleutel waarmee de gijzeling kan worden opgeheven binnen een week te vernietigen.

Vaak zetten de daders hun eisen bovendien extra kracht bij door gevoelige gegevens te onderscheppen en te dreigen met publicatie als hun doelwit niet snel genoeg over de brug komt. Ook in Costa Rica zeggen de hackers 46 gigabyte aan informatie te hebben onderschept. Dezelfde cyberbende zette kort na de aanval op Costa Rica al 9,5 gigabyte aan gestolen bestanden van een Peruaanse inlichtingendienst op haar blog.

Conti

Die bende is vrijwel zeker Conti, een berucht collectief van Russischtalige cybercriminelen. In tegenstelling tot veel andere ransomwaregroepen staat Conti erom bekend niet terug te schrikken voor aanvallen op gevoelige ‘burgerdoelen’, zoals ziekenhuizen.

De bende kwam eerder dit jaar in het nieuws toen ze haar steun uitsprak voor de Russische oorlog in Oekraïne. In reactie daarop zette een anoniem gebleven Oekraïner, mogelijk een gewezen lid van de bende, talloze interne berichten van Conti op internet. Dat bood beveiligingsexperts en opsporingsdiensten een uniek inkijkje in de werkwijze en de interne organisatie van de groep.

Die ‘Conti Leaks’ bevatten onder meer aanwijzingen voor nauwe banden tussen de bende en de Russische autoriteiten. Criminele hackersgroepen kunnen vanuit Rusland doorgaans min of meer straffeloos opereren zolang ze in eigen land geen slachtoffers maken, en er zijn veel verbanden bekend tussen de cybercriminelen en Russische inlichtingendiensten.

Colonial Pipeline

Afgelopen juni was de aanpak van cybercrimimaliteit uit Rusland een belangrijk gespreksonderwerp bij de eerste ontmoeting van de Amerikaanse president Biden met zijn ambtgenoot Poetin, onder meer naar aanleiding van een cyberaanval op Colonial Pipeline, een brandstofleiding die een groot deel van de benzine en kerosine voor de Amerikaanse oostkust vervoert, nu een jaar geleden.

Hoewel het Kremlin betrokkenheid bij dergelijke aanvallen steevast ontkent, ontmantelde de Russische inlichtingendienst FSB in januari „op Amerikaans verzoek” de cyberbende REvil, die in Rusland min of meer openlijk opereerde en onder meer met de aanval op Colonial Pipeline in verband wordt gebracht. Sommige analisten zagen in die actie, temidden van snel oplopende spanningen rond Oekraïne, geen toenadering maar een verkapt dreigement: Rusland liet ermee zien de cybercriminelen volledig in de hand te hebben.

De Amerikaanse autoriteiten loofden eerder deze maand beloningen tot wel 10 miljoen dollar uit voor informatie die leidt tot de opsporing van de Conti-hackers.

‘Hulp van binnenuit’

Chaves weigert, net als zijn voorganger, om aan de eisen van Conti tegemoet te komen. Hoewel nog onduidelijk is hoe de hackers hebben kunnen binnendringen, verwijt hij de vorige regering de cyberbeveiliging van overheidsdiensten jarenlang te hebben verwaarloosd.

Maandag stelde hij bovendien, zonder daarvoor bewijs te leveren, dat Conti hulp van binnenuit zou hebben gekregen. „We zijn in oorlog, en dat is geen overdrijving. We zijn in oorlog met een internationale terreurgroep die blijkbaar handlangers heeft in Costa Rica”, citeerde de krant La Nacion zijn persconferentie.