# Conti Costa Rica Attack 2022 > [!critical] > Em abril-maio de 2022, o grupo russo **Conti** (WizardSpider) atacou mais de 30 agências governamentais da Costa Rica, exfiltrando 672 GB de dados e exigindo US$ 10-20 milhões de resgate. O presidente recém-empossado Rodrigo Chaves declarou **emergência nacional** em 8 de maio de 2022 - a primeira vez na história que um país declara estado de emergência nacional por um ataque de ransomware, tornando este o evento de ransomware contra governo mais significativo já documentado. ## Visão Geral O [[conti-ransomware-operations]] (operado pelo grupo [[g0102-conti-group]], com nexo russo) lançou um ataque em série contra o governo da Costa Rica a partir de 17 de abril de 2022. A campanha atingiu mais de 30 agências governamentais costarriquenhas, incluindo o Ministério da Fazenda (HACIENDA), o Ministério do Trabalho, a Caixa Costarriquense do Seguro Social (CCSS) e outros órgãos críticos. O Ministério da Fazenda foi o mais impactado, com interrupção total dos sistemas de cobrança de impostos e aduaneiros por semanas. A operação seguiu a métodologia padrão do Conti: acesso inicial via VPN comprometida e exploração de vulnerabilidades em serviços expostos, movimentação lateral com ferramentas como [[s0154-cobalt-strike]] e Mimikatz, exploração da vulnerabilidade Zerologon ([[CVE-2020-1472]]) para obter privilégios de administrador de domínio, coleta e exfiltração de 672 GB de dados governamentais sensíveis, seguida da implantação do ransomware. A intrusão completa durou aproximadamente 5 dias. A resposta do Conti foi incomum pela agressividade pública: o grupo públicou os dados roubados em seu site de vazamentos, elevou o pedido de resgate de US$ 10 milhões para US$ 20 milhões, e lançou declarações provocativas afirmando que o objetivo não era financeiro mas político - visando desestabilizar o governo recém-eleito do presidente Rodrigo Chaves (que tomou posse em 8 de maio, mesmo dia em que declarou a emergência nacional). Alguns pesquisadores especulam que o ataque pode ter tido motivação parcialmente política, possívelmente relacionada à posição da Costa Rica em relação à invasão russa da Ucrânia. Para a América Latina, o ataque à Costa Rica é o evento de ransomware governamental mais crítico já documentado na região - superando ataques anteriores ao governo do Chile e à Colômbia em escala, impacto operacional e cobertura midiática global. Estabeleceu um precedente que outros grupos de ransomware podem tentar replicar contra governos latino-americanos com menor maturidade em segurança. ## Attack Flow ```mermaid graph TB A["🔓 Acesso Inicial<br/>VPN comprometida<br/>Serviços expostos explorados"] --> B["🔄 Movimentação Lateral<br/>Cobalt Strike + Mimikatz<br/>Mapeamento de rede gov"] B --> C["⚡ Zerologon Exploit<br/>CVE-2020-1472<br/>Domain Admin obtido"] C --> D["📦 Exfiltração de 672 GB<br/>Documentos governamentais<br/>Dados fiscais e trabalhistas"] D --> E["💥 Deploy Ransomware Conti<br/>30+ agências criptografadas<br/>Ministério da Fazenda offline"] E --> F["💰 Dupla Extorsão<br/>US$ 10M → US$ 20M<br/>Publicação em site Conti"] F --> G["🚨 Emergência Nacional<br/>08 Mai 2022<br/>Primeiro país no mundo"] ``` **Legenda:** [[T1190-exploit-public-facing-application|T1190]] · [[CVE-2020-1472|Zerologon]] · [[T1486-data-encrypted-for-impact|T1486]] ## Cronologia ```mermaid timeline title Ataque Conti Costa Rica - Linha do Tempo 17 Abr 2022 : Acesso inicial - VPN comprometida : Início da movimentação lateral 18-22 Abr : Reconhecimento e exfiltração de dados : 672 GB copiados para C2 Conti 22 Abr : Ransomware implantado - 30+ agências cifradas : Ministério da Fazenda completamente offline 22 Abr : Conti exige US$ 10M de resgate : Costa Rica recusa - comúnicação pública Mai 2022 : Conti eleva exigência para US$ 20M : Publicação de dados no site Conti 8 Mai 2022 : Rodrigo Chaves toma posse como presidente : Declara EMERGÊNCIA NACIONAL por ransomware : Primeiro país no mundo a fazer isso Mai-Jun 2022 : Sistemas fiscais e aduaneiros offline semanas : Perdas estimadas em US$ 200M+ para economia Mai 2022 : FBI emite alerta sobre Conti - ataque Costa Rica Jun 2022 : Conti encerra operações e se fragmenta : Membros migram para outras operações RaaS ``` ## TTPs Principais | Tática | Técnica | ID | Detalhe | |--------|---------|----|---------| | Acesso Inicial | Exploit de Aplicação Pública | [[T1190-exploit-public-facing-application\|T1190]] | VPN e serviços governamentais expostos | | Acesso Inicial | Contas Válidas | [[T1078-valid-accounts\|T1078]] | Credenciais de funcionários comprometidas | | Escalada de Privilégio | Zerologon | [[CVE-2020-1472\|CVE-2020-1472]] | Domain Admin via protocolo Netlogon | | Movimentação Lateral | Exploração de Serviços Remotos | [[T1210-exploitation-of-remote-services\|T1210]] | Cobalt Strike para pivoting interno | | Exfiltração | Transferência para Conta Cloud | [[T1537-transfer-data-to-cloud-account\|T1537]] | 672 GB exfiltrados | | Impacto | Dados Criptografados | [[T1486-data-encrypted-for-impact\|T1486]] | Ransomware Conti implantado em 30+ agências | ## Impacto e Consequências - **Ministério da Fazenda**: sistemas de imposto e alfândega offline por semanas - estimativa de US$ 200M+ em perdas para a economia - **30+ agências governamentais** comprometidas incluindo CCSS e Ministério do Trabalho - **672 GB de dados** governamentais exfiltrados e públicados no site Conti - **Emergência nacional** declarada - precedente histórico global - **Eleição de novo governo** comprometida: presidente Chaves assumiu no mesmo dia que declarou emergência - Demonstrou que ataques de ransomware podem causar paralisia institucional de estado ## Relevância LATAM O ataque à Costa Rica é o episódio mais crítico de ransomware governamental documentado na América Latina. Seus ensinamentos são diretamente aplicáveis ao [[government|governo]] do Brasil e outros governos da região: - Governos com menor maturidade cibernética são alvos de alto valor com potencial de pagamento (pressão política) - A declaração de emergência nacional legitimou o incidente como ameaça à soberania nacional - O [[financial|setor fiscal]] e alfandegário - altamente dependente de sistemas digitais - é vetor de máxima disrupção - A exposição da Costa Rica ocorreu 2 anos após a divulgação do [[CVE-2020-1472]] (Zerologon) - patching atrasado é risco crítico ## Detecção e Defesa - Aplicar imediatamente o patch do [[CVE-2020-1472]] (Zerologon) em todos os controladores de domínio - Monitorar mudanças de senha de contas de máquinas via Netlogon - sinal de exploração Zerologon - Implementar MFA em todos os acessos VPN governamentais - Detectar uso de ferramentas de reconhecimento (BloodHound, ADExplorer) na rede interna - Monitorar volumes anormais de transferência de dados para destinos externos - Segmentar redes de sistemas críticos (fiscal, alfandegário) do restante da rede governamental - Manter backups offline atualizados de todos os sistemas governamentais críticos - Consultar [[M1051-update-software|M1051]], [[M1032-multi-factor-authentication|M1032]] e [[M1053-data-backup|M1053]] para controles prioritários ## Referências - [1](https://www.bbc.com/news/technology-61506680) BBC - Costa Rica Declares National Emergency After Ransomware Attack (2022) - [2](https://www.bleepingcomputer.com/news/security/costa-rica-declares-national-emergency-after-conti-ransomware-attacks/) BleepingComputer - Costa Rica Declares National Emergency After Conti Attacks (2022) - [3](https://www.mandiant.com/resources/blog/conti-1-year-anniversary) Mandiant - Conti Ransomware Group - One Year in Review (2022) - [4](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-265a) CISA - Conti Ransomware Advisory (AA21-265A) (2021) - [5](https://attack.mitre.org/software/S0575/) MITRE ATT&CK - Conti Ransomware (S0575)