Уряд штату Невада опублікував рідкісну для США повністю прозору технічну доповідь про те, як хакери проникли в державні системи, приховано перебували всередині майже три місяці, а потім зашифрували сервери всіх державних агенцій. Попри масштаб інциденту, штат не заплатив викуп і відновив 90% критичних даних за 28 днів. Розслідування показало, що точкою входу стала троянська версія системного адміністративного інструмента, яку працівник завантажив через підроблену рекламу в Google. Шкідлива утиліта встановила прихований бекдор, який автоматично під’єднувався до інфраструктури зловмисників при кожному вході користувача в систему.
Хоча антивірус Symantec згодом видалив заражений файл, механізм персистентності залишився, і хакери зберегли доступ до мережі. Далі вони:
встановили комерційне RMM-ПЗ для кейлогінгу та запису екрану;
розгорнули зашифрований тунель для обходу контролів;
почали RDP-сесії на критичних серверах, зокрема на сервері сховища паролів;
викрали 26 облікових записів, стерли логи та підготували архів із 26 408 файлами;
отримали доступ до сервера резервних копій і видалили всі бекупи;
модифікували параметри гіпервізора для запуску непідписаного коду.
24 серпня о 08:30:18 UTC зловмисники запустили рансомвар на всіх хостах, що містили віртуальні машини уряду — вивівши з ладу вебсайти, телефони, внутрішні сервіси й онлайн-платформи понад 60 держустанов.
Через 20 хвилин інцидент зафіксувало Governor’s Technology Office, після чого стартувало 28-денне відновлення.
Штат принципово не платив викупу. Замість цього зробили ставку на власних спеціалістів: 4 212 годин овертайму обійшлися в $259 000 — і це заощадило приблизно $478 000, які пішли б на зовнішніх підрядників.
Водночас послуг зовнішніх команд все ж залучили:
Microsoft DART — $354 481
Mandiant — $248 750
Aeris — $240 000
Інші — загалом понад $1,3 млн
Попри масштаб атаки, слідчі не виявили ознак ексфільтрації або публікації даних.
Атака в Неваді — класичний кейс malvertising-компрометації: підроблені Google Ads, інструменти адміністрування з троянами та подальше проникнення до домену. За останні роки хакери все активніше використовують фальшиві копії WinSCP, PuTTY, RVTools, LogMeIn, AnyDesk і KeePass для отримання привілейованого доступу.
Цінність цієї доповіді — у повній прозорості. Уряд не приховує кроки атакувальника, час, шляхи проникнення й свої помилки. Це рідкісний приклад відкритої кібербезпекової практики державного рівня.
Інцидент у Неваді показує, що:
слабким місцем може стати звичайний запит у Google;
навіть після видалення шкідливого файлу персистентність може лишитися;
видалення бекупів — типова тактика сучасних рансомвар-груп;
не платити викуп — реалістична стратегія, якщо є компетентна команда;
прозорість після інциденту — найкраща інвестиція у кіберстійкість держави.
Штат уже провів тотальне очищення доступів, масове скидання паролів, видалення застарілих сертифікатів та оновлення правил контролю — визнавши, що потрібні додаткові вкладення у моніторинг і реагування.
