Атака программы-вымогателя в Коста-Рике, 2022 г.

Кибератака в Коста-Рике, 2022 г.
На веб-сайте Министерства финансов показано статическое сообщение с рекомендациями о работе по восстановлению сервиса в результате атаки.
Расположение	Коста-Рика
Дата	17 апреля 2022 г.
Тип атаки	Кибератака
Оружие	программы-вымогатели
Преступники	Группа вымогателей Conti , Группа вымогателей Hive

Начиная с ночи ( UTC -6:00) 17 апреля 2022 года, атака программ-вымогателей началась против почти 30 учреждений правительства Коста-Рики , включая ее Министерство финансов , Министерство науки, инноваций, технологий и телекоммуникаций (MICITT). ), Национальный метеорологический институт, государственный интернет-провайдер RACSA, Фонд социального обеспечения Коста-Рики ( Caja Costarricense de Seguro Social , CCSS), Министерство труда и социального обеспечения [ es ] , Фонд социального развития и семейных пособий, и Административный совет Муниципальной электроэнергетической службы Картаго. ^{[1] [2]}

Пророссийская в обмен на неразглашение информации , группа Conti взяла на себя ответственность за первую группу атак и потребовала выкуп в размере 10 миллионов долларов США украденной из Министерства финансов, которая могла включать конфиденциальную информацию, такую ​​​​как налоговые декларации граждан и компании, работающие в Коста-Рики. Рика. ^{[3] [4] [5]}

Как следствие, правительству пришлось отключить компьютерные системы, используемые для декларирования налогов , а также для контроля и управления импортом и экспортом , что привело к убыткам производственного сектора порядка 30 миллионов долларов США в день. ^{[6] [7]} веб-страницы Министерства науки, инноваций, технологий и телекоммуникаций Аналогичным образом из сети были удалены .

Коста-Рике потребовалась техническая помощь со стороны США , Израиля , Испании и Microsoft , чтобы справиться с кибератакой. Атака включала заражение компьютерных систем программами-вымогателями , порчу веб-страниц, кражу файлов электронной почты социального обеспечения и атаки на портал кадров , а также на его официальный в Твиттере . аккаунт ^{[8] [9]}

6 мая 2022 года правительство США через ФБР предложило вознаграждение в размере 10 миллионов долларов США за информацию, позволяющую идентифицировать человека или лиц, занимающих руководящую должность в группе Conti, и дополнительные 5 миллионов долларов США за информацию, ведущую к захват или осуждение в любой стране лиц, которые помогали или участвовали в сговоре с целью проведения атак с использованием программы-вымогателя Conti. ^{[10] [11]}

8 мая 2022 года новый президент Коста-Рики Родриго Чавес Роблес издал указ о введении чрезвычайного положения в стране актом из-за кибератак, посчитав их террористическим . Спустя несколько дней на пресс-конференции он заявил, что страна находится в состоянии войны. ^{[12] [13]} и что были доказательства того, что люди внутри Коста-Рики помогали Конти, называя их « предателями » и « флибустьерами ». ^{[14] [15]}

31 мая 2022 года на рассвете группа Hive Ransomware Group осуществила атаку на Фонд социального страхования Коста-Рики , вынудив учреждение отключить все свои критически важные системы, включая уникальный цифровой файл здоровья и централизованную систему сбора данных. ^{[16] [17]} В первом хранится конфиденциальная медицинская информация о пациентах, пользующихся услугами социального обеспечения, а во втором — для сбора страховых взносов с населения. ^[18]

Conti Group — преступная организация, занимающаяся атаками с использованием программ-вымогателей , кражей файлов и документов с серверов и последующим требованием выкупа. Его метод работы заключается в заражении компьютеров вредоносным ПО Conti , которое использует до 32 отдельных логических потоков, что делает его намного быстрее, чем большинство вирусов такого типа. ^[19]

Самый старший участник известен под псевдонимами Штерн или Демон и выступает в качестве генерального директора . Другой участник, известный как Манго, выступает в качестве генерального менеджера и часто общается со Стерном . Манго сообщил Стерну в сообщении, что в основной команде 62 человека. Число вовлеченных людей колеблется, достигая 100. Из-за постоянной текучести участников группа набирает новых членов через законные сайты по поиску работы и хакерские сайты. ^[20]

Обычные программисты зарабатывают от 1500 до 2000 долларов в месяц, а участники, договаривающиеся о выплате выкупа, могут получить часть прибыли. В апреле 2021 года член Conti Group заявил, что заставил анонимного журналиста сократить расходы на программы-вымогатели на 5% , заставляя жертв платить. ^[20]

Во время российского вторжения в Украину в 2022 году Conti Group заявила о своей поддержке России и пригрозила принять «ответные меры», если против страны будут совершены кибератаки. ^{[20] [21] [22]} В результате анонимный человек слил около 60 000 сообщений внутреннего чата вместе с исходным кодом и другими файлами, используемыми группой. ^{[23] [24]}

Мнения, выраженные в утечках, включают поддержку Владимира Путина , Владимира Жириновского и антисемитизм (в том числе в отношении Владимира Зеленского ). Член организации, известный как Патрик, повторил несколько ложных заявлений Путина об Украине . Патрик живет в Австралии и может быть гражданином России. сообщения, содержащие гомофобию , женоненавистничество и упоминания о жестоком обращении с детьми . Также были обнаружены ^[25]

Conti несет ответственность за сотни инцидентов с программами-вымогателями с 2020 года. По оценкам ФБР , по состоянию на январь 2022 года было более 1000 жертв атак, связанных с программой-вымогателем Conti, причем выплаты жертвам превысили 150 миллионов долларов, что делает Conti самым разрушительным штаммом программы-вымогателя, когда-либо зарегистрированным. . ^[26]

Через несколько дней после заявления ФБР Конти объявил, что они начнут процесс закрытия. ^[27] Некоторые члены Conti перешли в более мелкие организации, такие как Hive, HelloKitty, AvosLocker, BlackCat и BlackByteo; другие основали собственные группы. ^[28]

Группа вымогателей Hive — это преступная организация, известная своими атаками на организации и учреждения общественного здравоохранения, особенно на больницы и клиники. ^[29] Впервые оно появилось в июне 2021 года. ^[30]

Компания Bleeping Computer LLC сообщила, что некоторые хакеры Conti перешли в другие банды, занимающиеся вымогательством, включая Hive. ^[16] хотя конкурирующая группа ^[31] отрицает какую-либо связь с Conti, несмотря на то, что, как только начался процесс закрытия операций и хакеры добрались до Hive, она начала использовать тактику публикации утекших данных в глубокую сеть, как это сделала Conti. ^[16] Эксперт AdvIntel Елисей Богуславский с высокой степенью уверенности установил, что Conti сотрудничала с Hive как минимум с ноября 2021 года. По ее информации, Hive активно использовал первоначальный доступ для атаки, предоставленный Conti. ^[16] В отличие от группы Conti, Hive не связана с прямой поддержкой российского вторжения в Украину , хотя выкуп Hive, вероятно, будет получен теми же людьми в Conti, которые заявляли о коллективной поддержке группы с российским правительством . ^[16]

В июле 2022 года ФБР проникло в Улей. Агенты полевого офиса под прикрытием в Тампе, штат Флорида, получили полный доступ и действовали в качестве дочерней компании в сети Hive незамеченными в течение семи месяцев, собирая доказательства и тайно генерируя ключи дешифрования для жертв, чтобы они могли восстановить свои данные. В январе 2023 года Министерство юстиции США объявило, что они ликвидировали Hive, захватив серверы группы в координации с Германией и Нидерландами. ^[32]

Первыми в ночь на воскресенье, 17 апреля, были взломаны серверы Минфина. Группа Conti скомпрометировала учетные данные, что позволило ей установить вредоносное ПО на одно устройство в сети Минфина. ^[33] аккаунт BetterCyber Твиттер- ​​на следующий день первым воспроизвел пост на форуме Conti Group, в котором сообщалось о взломе государственного учреждения, указывая на то, что 1 терабайт с платформы Virtual Tax Administration (ATV) был украден информации, использовавшейся правительством для граждан и компаний подавать налоговые декларации. В свою очередь в издании указано, что данные начнут публиковаться 23 апреля. ^[34]

До 10 часов утра 18 апреля Минфин сообщил в пресс-релизе и через свои социальные сети, что «из-за технических проблем» платформа ATV и Таможенная информационная система (TICA) были отключены и что истек срок подачи заявок. а уплата налогов, причитающихся в этот день, будет продлена до следующего рабочего дня после восстановления систем. ^[35] Учреждение не сразу признало факт взлома и сначала отказалось отвечать на вопросы прессы по поводу заявления Conti Group. ^{[36] [37]}

На следующий день Conti Group разместила на своем форуме новое сообщение, в котором объявила, что требует выкуп в размере 10 миллионов долларов США за украденную информацию. ^[38] В Минфине подтвердили, что опубликованная на данный момент информация соответствует информации Национальной таможенной службы, используемой для поставок и поддержки. ^[39]

В отношении сообщений, обнаруженных в социальных сетях и классифицированных как хакерские, Минфин сообщает следующее:

Действительно, с сегодняшнего дня мы столкнулись с ситуацией на некоторых наших серверах, в которой приняли участие наши сотрудники и внешние эксперты, которые в течение последних нескольких часов пытались обнаружить и исправить возникающие ситуации.

Это министерство приняло решение разрешить следственным группам провести углубленный анализ информационных систем, для чего оно приняло решение временно приостановить работу некоторых платформ, таких как ATV и TICA, а услуги будут перезапущены, как только группы завершить свои анализы.

За последние несколько часов была обнаружена утечка некоторых данных, принадлежащих Главному таможенному управлению, которое проводит процессы расследования информации, как это установлено в плане реагирования.

Полученные на данный момент данные носят исторический характер и используются Национальной таможенной службой в качестве исходных данных и поддержки.

— Министерство финансов

Через несколько часов после заявления Казначейства микросайт Министерства науки, инноваций, технологий и телекоммуникаций поврежден был сообщением следующего содержания: «Мы приветствуем вас из Конти, ищите нас в своей сети». ^{[40] [41] [42]}

Хорхе Мора Флорес, директор по цифровому управлению Коста-Рики, отметил, что в результате атаки, а также поскольку на пострадавшем сервере размещаются другие страницы, было принято решение отключить его, пока проводились проверки, чтобы определить степень безопасности. нарушен. ^[42] Впоследствии обновленная информация на форуме Conti Group показала, что нападения на министерства Коста-Рики будут продолжаться «пока правительство не заплатит нам». ^[43]

Несколько часов спустя Конти атаковал сервер электронной почты Национального метеорологического института, украв содержащуюся там информацию. ^{[44] [45]} Конти заявил, что сценарий, с которым столкнулась Коста-Рика, представляет собой «бета-версию глобальной кибератаки на всю страну». ^[46] Позже, в другом обновлении на своем форуме, они указали, что если Минфин не проинформирует своих налогоплательщиков о происходящем, то они проведут дополнительные действия:

Если министр не сможет объяснить своим налогоплательщикам, что происходит, мы: 1) проникнем в его критическую инфраструктуру, получим доступ к более чем 800 серверам, скачаем более 900 ГБ баз данных и более 100 ГБ внутренних документов, базы данных в формате MSSQL mdf. формат, там больше, чем просто адрес электронной почты, имя, фамилия... Если министр посчитает, что эта информация не является конфиденциальной, мы ее опубликуем. Проблема утечки — не главная проблема министерства, их резервные копии тоже были зашифрованы, 70% их инфраструктуры, вероятно, не удастся восстановить, и у нас есть бэкдоры в большом количестве их министерств и частных компаний. Мы просим значительно небольшую сумму от того, что вы потратите в будущем. Их экспортный бизнес уже в беде, и они уже потеряли 10 миллионов долларов, которые могли бы нам заплатить.

— Конти Групп

Позже в тот же день правительство Коста-Рики отрицало получение требования о выкупе, несмотря на сообщение на форуме Conti Group о 10 миллионах долларов США.

20 апреля Конти опубликовал еще 5 ГБ информации, украденной у Минфина. ^[47] Во второй половине дня правительство созвало пресс-конференцию в Президентском доме, на которой заявило, что ситуация находится под контролем и что помимо Министерства финансов, MICITT и IMN, Radiografía Costarricense SA (RACSA), государственный интернет-провайдер, подвергся атаке посредством взлома внутреннего почтового сервера. ^{[48] [49]} Тем временем Фонд социального обеспечения Коста-Рики сообщил, что подвергся кибератаке на свой сайт отдела кадров, с которой ведется борьба. ^{[50] [51]} Conti Group не взяла на себя ответственность за нападение, поскольку через несколько часов Фонд сообщил, что у застрахованных не было украдено никакой конфиденциальной информации, такой как их история болезни или взносы в пенсионное или медицинское страхование, и что базы данных остались нетронутыми. ^[52]

Министр президента указала , Джаннина Динарте Ромеро что это случай международной организованной преступности и что правительство Коста-Рики не будет платить никакой выкуп. ^[53] Она также сообщила, что они получают техническую помощь от правительств США , Израиля и Испании , а также от Microsoft , которая управляет серверами Минфина. ^[53]

Утром 21 апреля Conti Group атаковала серверы Министерства труда и социальной защиты, а также Фонда социального развития и семейных пособий. В предварительном отчете правительства указывалось, что такая информация, как электронные письма и данные о пенсионных выплатах и ​​социальной помощи из обоих учреждений, была украдена. ^[54] Аналогичным образом группа предложила 35-процентную скидку на сумму требуемого выкупа, если правительство Коста-Рики произведет своевременную выплату. ^[55] Перед полуднем Министерство науки, инноваций, технологий и телекоммуникаций провело пресс-конференцию, на которой правительство подтвердило свою позицию не платить выкуп, требуемый Conti Group, за что несколько часов спустя преступная группировка объявила, что немедленно начнет публиковать украденные данные. информации, призывая киберпреступников Коста-Рики воспользоваться ею для совершения фишинга . ^{[56] [57]}

В тот день президент Карлос Альварадо Кесада сделал свое первое публичное заявление по поводу взлома. ^[58]

Я повторяю, что государство Коста-Рика НЕ ​​БУДЕТ НИЧЕГО ПЛАТИТЬ этим киберпреступникам. Но мое мнение таково, что эта атака не вопрос денег, а скорее направлена ​​на то, чтобы поставить под угрозу стабильность страны в переходной ситуации. Они этого не сделают. Как мы всегда делали, каждый человек на этой земле внесет свой вклад в защиту Коста-Рики.

—Карлос Альварадо Кесада

Во второй половине дня правительство издало директиву, адресованную государственному сектору в целях защиты надлежащего функционирования, конфиденциальности и кибербезопасности государственных учреждений. Документ предусматривает, что в случае возникновения любой ситуации, которая влияет на конфиденциальность, доступность и целостность услуг, доступных для общественности, непрерывности институциональных функций или кражи личных данных учреждения в социальных сетях, даже тех, которые внутри учреждения считается, что находится под контролем, — о событии необходимо проинформировать Центр реагирования на инциденты компьютерной безопасности (CSIRT-CR). Кроме того, агентства обязаны создать резервную копию информации об инциденте для использования в расследованиях. ^[59] Аналогичным образом, учреждения должны осуществлять техническое обслуживание своей телекоммуникационной инфраструктуры — будь то через государственных служащих или частных подрядчиков — включая регулярные обновления институциональных систем, изменение паролей всех институциональных систем и сетей, отключение ненужных услуг и портов, а также мониторинг сетевой инфраструктуры, а также принимая во внимание оповещения от CSIRT-CR. ^[59] Руководство также предписывает проводить сканирование уязвимостей не реже двух раз в год на официальных сайтах правительства Коста-Рики. ^[59]

Утром 22 апреля правительство сообщило, что со вчерашнего дня новых нападений Conti Group на страну не зафиксировано. Однако директор Digital Governance Хорхе Мора пояснил, что с понедельника, когда в государственных учреждениях начали принимать превентивные меры, было обнаружено 35 000 вредоносными программами запросов на обмен , 9 900 фишинговых инцидентов, 60 000 попыток получить удаленный контроль над ИТ-системами и Было пресечено 60 000 попыток майнинга криптовалют с использованием компьютерной инфраструктуры первых 100 государственных учреждений. ^[60]

23 апреля группа Conti атаковала административный совет Муниципальной электроэнергетической службы Картаго, государственной компании, отвечающей за электроснабжение провинции Картаго . ^[61] Хорхе Мора Флорес сообщил в тот день, что информация подписчика могла быть скомпрометирована; ^{[62] [63]} На следующий день он сообщил, что в рамках атаки была зашифрована бухгалтерская и кадровая информация учреждения. ^[64]

25 апреля Конти объявил, что изменит свою стратегию с атак на государственные институты и сосредоточится на крупных компаниях частного сектора; Кроме того, он перестанет объявлять о своих взломах на своей глубокой веб- странице и сосредоточится на запросах выкупа за украденную и зашифрованную информацию. ^[65]

26 апреля MICITT сообщил, что сайт Sede Interuniversitaria de Alajuela , многоуниверситетского кампуса, подвергся атаке; кроме того, была предпринята попытка взлома серверов Instituto de Desarrollo Rural [ es ] (Институт сельского развития), которая была эффективно отражена. ^[66] 29 апреля правительство сообщило о попытке взлома в Министерство экономики, промышленности и торговли. ^[67] а днем ​​позже - против Национального ликеро-водочного завода и муниципалитетов Турриальба и Гольфито . ^[68]

2 мая сообщалось об очередной попытке взлома Министерства юстиции и мира (MJP), однако она была отвергнута. ^[69] На следующий день сообщалось о безуспешных кибератаках на муниципалитеты Гарабито и Алахуэлита . ^[70] а также в Совете социальной защиты Сан-Хосе [ es ] , национальной благотворительной организации, которая управляет национальной лотереей страны. ^[71]

4 мая MICITT сообщил о попытках взлома Национальной комиссии по кредитам на образование и еще об одной — Университетскому колледжу Картаго (CUC), хотя ответственность за последнее не входила в сферу ответственности Конти.

Спустя почти два месяца после первоначального нападения, 11 июня, Министерство финансов объявило, что 13 июня будет перезапущена налоговая система ATV, чтобы костариканцы могли осуществлять свои платежи. ^[72] 24 июня были восстановлены две другие системы, отключенные в результате атак Conti: TICA ( испанский : Tecnologia de Información para el Control Aduanero , Информационные технологии таможенного контроля). ^[73] и Exonet, платформа, используемая для управления и обработки запросов на освобождение от налогов. ^[74]

31 мая в два часа ночи ( UTC -6:00) Фонд социального страхования Коста-Рики (CCSS) обнаружил аномальные информационные потоки в своих системах и начал получать сообщения из разных больниц о необычном поведении различных компьютеров; он немедленно приступил к отключению всех своих критически важных систем, включая Единый цифровой медицинский файл ( Expediente Digital Único en Salud , EDUS) и Централизованную систему сбора данных. Некоторые принтеры в учреждении печатали сообщения со случайными кодами или символами. ^[75] в то время как другие распечатывали инструкции по умолчанию от группы Hive Ransomware Group о том, как восстановить доступ к системам. ^[76]

На пресс-конференции перед полуднем представители CCSS охарактеризовали нападение как «исключительно жестокое» и подробно рассказали, что первые инциденты были зафиксированы в больнице Сан-Висенте-де-Поль в провинции Эредиа , а затем в больнице Либерии в провинции Гуанакасте ; Отсюда были совершены нападения на больницы Большого мегаполиса . ^[77] Президент CCSS Альваро Рамос Чавес подтвердил, что базы данных с конфиденциальной информацией не были скомпрометированы, но отметил, что по меньшей мере тридцать серверов (из более чем 1500, имеющихся у учреждения) были заражены программами-вымогателями. Он добавил, что у них есть план по восстановлению систем, но это займет время, поскольку необходимо проверить каждую единицу оборудования, чтобы гарантировать отсутствие доступа хакеров. ^[77]

В результате у ряда застрахованных были отменены приемы у врача. ^[78] Медицинским центрам CCSS пришлось прибегнуть к работе на бумаге, поскольку система цифрового резервного копирования «Цифровой файл в условиях непредвиденных обстоятельств» ( Expediente Digital en Ambiente de Contingencia в качестве меры безопасности также была отключена , EDAC), и такая ситуация может сохраниться. и так на неопределенный срок. ^[77] Медицинские учреждения остались без доступа к EDUS, EDAC и другим системам, включая систему контроля занятости больниц (ARCA) и систему выставления счетов. Финансовые подразделения CCSS не могли использовать такие системы, как Централизованная система сбора платежей (SICERE), Реестр контроля и платежей по инвалидности (RCPI) и Интегрированная система ваучеров (SICO). В офисах и административных помещениях не было возможности использовать компьютеры; удаленные работники могли получить доступ только к Office 365 ( Word , Excel , PowerPoint , Outlook и Teams ). ^{[79] [80]}

Всего в первый день последствий кибератаки на прием к врачу пропустил 4871 пользователь. ^[81] на следующий день было пропущено еще 12 000 встреч. CCSS сообщил, что больше всего пострадала лабораторная служба: только 45 процентов работали нормально, а 48 процентов пострадали частично. Обзор 108 медицинских учреждений показал, что 96% больничных служб работали по плану действий в чрезвычайных ситуациях, частично пострадали 18% амбулаторных консультаций, частично были затронуты 19% служб радиологии и медицинской визуализации и 37% аптечных служб. ^[82]

1 июня во время пресс-конференции в президентском дворце исполнительный президент CCSS Альваро Рамос Чавес объявил о начале административного расследования в отношении Департамента информационных технологий агентства по факту взлома, чтобы определить, имела ли место халатность. Президент Чавес Роблес отметил, что менее чем на 15 компьютерах CCSS была установлена ​​система microCLAUDIA, подаренная Испанией, после атак на Конти. ^[83] Рамос Чавес также сообщил, что последствия атаки были в 27 раз сильнее, чем сообщалось в первый день: были затронуты более 800 серверов и 9000 компьютеров конечных пользователей, что сделало невозможным восстановление всех систем в течение недели, как первоначально планировалось. ^[83]

2 июня группа Hive Ransomware Group запросила 5 миллионов долларов в биткойнах , чтобы CCSS могла вернуть свои услуги. ^[84]

4 июня Управление пенсий (SUPEN) объявило о приостановке до дальнейшего уведомления возможности свободного перевода дополнительных пенсионных фондов между различными операторами, поскольку для этого требовалась одна из систем CCSS, пострадавших от взлома. ^[85]

Учитывая падение системы отчетности по заработной плате и выплате социальных отчислений, CCSS пришлось продлить до 10 июня крайний срок для работодателей для подачи заработной платы, соответствующей майскому месяцу. Также было объявлено, что самозанятые и добровольно застрахованные работники не смогут платить ежемесячные взносы из-за невозможности выставления соответствующего счета. ^[86] Пенсионная схема по инвалидности, старости и смерти (IVM) должна была включить банковские счета и специальные учетные записи электронной почты, чтобы люди с ипотечными кредитами могли платить свои ежемесячные платежи и сообщать о взносах. ^[87] Также в 163 учреждениях здравоохранения ЦССС установлены телефонные линии для ответа населения на вопросы о непрерывности оказания услуг и состоянии приема на прием к врачу. ^[88]

22 апреля тогдашний избранный президент Коста-Рики Родриго Чавес Роблес объявил о своем намерении объявить чрезвычайное положение в стране после того, как он придет к власти из-за кибератак на государственный сектор страны. ^[89]

3 мая Промышленная палата Коста-Рики (CICR), Национальная палата грузовых перевозчиков (CANATRAC), Палата внешней торговли Коста-Рики (CRECEX), Палата фискальных и общих депозитных складов (CAMALFI), Палата грузоотправителей (NAVE), Палата экспортеров Коста-Рики (CADEXCO) и Ассоциация таможенных агентов (AAACR) обратились с просьбой объявить чрезвычайное положение из-за ситуации на таможне страны в результате взлома Conti; они предупредили, что в течение нескольких дней, если ситуация не улучшится, Коста-Рика может столкнуться с параличом международной торговли из-за скопления грузовых контейнеров, поскольку таможне придется проводить процедуры на бумаге, увеличивая время ожидания до трех, а то и четырех дней для получения разрешения на перемещение контейнеров. ^[90]

8 мая, придя к власти, Чавес Роблес подписал Исполнительный указ № 43542-MP-MICITT, объявивший чрезвычайное положение в стране из-за кибератак на государственный сектор Коста-Рики и поручил Президенту Республики взять под контроль координацию национального реагирования вместо Национальной чрезвычайной комиссии [ es ] , которая по закону управляет ситуациями объявленного национального чрезвычайного положения. ^[91]

16 мая президент Чавес подтвердил, что страна находится в состоянии войны из-за хакерских атак Конти, и осудил, что есть граждане, помогающие « террористической группе», которая в предыдущие выходные угрожала свергнуть вновь избранное правительство. ^[92]

Мы не знаем, у нас нет информации о том, кто правильно и неправильно платит нам налоги. Это оказывает огромное влияние на процесс международной торговли, поскольку таможенная система TICA не работает. Мы не знаем, как продвигается исполнение бюджета страны: Коста-Рика не знает, какую часть бюджета тратит каждый человек, собираемся ли мы платить сами себе или нет. Мы выплачиваем зарплату практически вслепую, исходя из предыдущих платежных ведомостей, что представляет собой огромную проблему для будущего. Что произойдет, если кто-то превзойдет вас из-за выдающегося персонала, а мы будем повторять один и тот же расчет заработной платы? Есть люди, которым государство платит меньше, чем следовало бы, за использование старых форм. Это представляет собой огромный риск, поскольку системы не являются гибкими для возмещения избыточных платежей. У нас атаковано 27 учреждений, и 9 учреждений сильно пострадали, включая Министерство финансов, которое получает доходы и оплачивает расходы государства. Они хотят утопить нас через финансовую систему государственных финансов государства.

— Родриго Чавес Роблес, президент Коста-Рики

На следующий день десятки работников Министерства народного образования [ ес ] (МОП) вышли на улицы, чтобы протестовать против невыплаты им зарплат – выплат меньше положенных, среди других проблем, связанных с невозможностью обновления данных. государственная заработная плата из-за взлома. По оценкам депутата Европарламента, пострадали 16 000 рабочих, из которых 3 000 вообще не получили никаких выплат. Минфин в качестве экстренной меры предоставил инструмент, который нужно было заполнять вручную для обновления выплат сотрудникам. ^[93]

21 мая, из-за новых протестов, профсоюзы провели переговоры с правительством, которое пообещало выплатить причитающиеся суммы и впоследствии вернуть все суммы, переплаченные работникам. ^[94] 27 мая Конституционная палата Верховного суда [ es ] оставила в силе более 200 апелляций по делу ампаро , поданных против государства работниками Европарламента, пострадавшими от выплаты зарплаты, и распорядилась принять экстренные меры для сверки платежей в течение месяца. ^[95] 30 мая правительство объявило, что депутат Европарламента и Министерство финансов выплатили более 6 миллиардов фунтов стерлингов в качестве внеочередной заработной платы, что соответствует 25 618 перемещениям, ожидающим отмены из-за взлома. ^[96]

Эта серия атак привлекла внимание к отстающей инфраструктуре кибербезопасности Латинской Америки. В 2020 году 12 стран Латинской Америки имели национальную стратегию кибербезопасности; к июлю 2023 года он был уже в 20 странах. ^[97]