Ağustos ayında Nevada eyaletine yönelik gerçekleştirilen fidye yazılımı saldırısının, bir eyalet çalışanının yanlışlıkla sahte bir web sitesinden kötü amaçlı yazılım içeren bir araç indirdiği Mayıs ayındaki bir saldırıdan kaynaklandığı belirlendi. adli tıp raporuna göre devlet çarşamba günü açıkladı.
Devlet yetkilileri fidye talebini reddetti ve 28 günlük bir kurtarma süresinin ardından etkilenen verilerin %90’ını kurtardı. Devletin sigorta kapsamı ve önceden müzakere edilmiş satıcı anlaşmaları vardı ve bu da fidye ödememe kararının alınmasında etkili oldu.
Valilik Teknoloji Ofisi baş bilgi sorumlusu ve idari müdürü Timothy Galluzzi raporda şunları söyledi: “Tehdit aktörü, devlet sistemlerini çevrimdışına almayı amaçlayan bir saldırı gerçekleştirdi ve devletten şantaj yapmak amacıyla şifrelenmiş sistemlerin ve verilerin nasıl kurtarılacağına ilişkin talimatları içeren bir not bıraktı.”
Saldırı Nevada hükümeti genelinde 60’tan fazla kurumu etkilediSağlık ve İnsani Hizmetler Departmanı, Motorlu Taşıtlar Departmanı ve Kamu Güvenliği Departmanındaki kritik hizmetler dahil.
Raporda kimliği belirtilmeyen tehdit aktörü 26.400’den fazla dosyaya erişim sağladı. Birden fazla sistemde 3.200 dosya daha açığa çıktı. Eyalet, Mandiant, Dell, Microsoft DART, Palo Alto Networks, Aeris ve diğer firmalar da dahil olmak üzere ajans hizmetlerinin araştırılmasına ve onarılmasına yardımcı olmak için birkaç büyük şirketle anlaştığından, kurtarma maliyetleriyle ilgili yaklaşık 1,3 milyon dolarlık harcamaya maruz kaldı.
Saldırı, eyalet ve yerel yönetimlerin dayanıklılığını koruma ve acil durum müdahalesi, kamu güvenliği ve sağlık hizmetleri de dahil olmak üzere temel hizmetleri sağlamaya devam etme konusunda artan zorluklara dikkat çekiyor.
Devlet çalışanı, eyaletin bilgisayar sistemlerine gizli bir arka kapı açan ve 26 Haziran’da Symantec Endpoint Protection tarafından karantinaya alınana kadar aktif kalan aracı 14 Mayıs’ta indirdi.
Bilgisayar korsanı, bir dizi standart ve ayrıcalıklı hesaba uzaktan izleme yazılımı yükledi ve kritik sistemler arasında geçiş yapmak ve hassas dizinlere erişmek için uzak masaüstü protokolünü kullandı. 26 hesaptaki kimlik bilgileri çalındı ve yetkisiz hareketin kanıtlarını gizlemek için olay kayıtları temizlendi.
24 Ağustos saldırısı sırasında tehdit aktörü yedekleme birimlerini sildi, fidye yazılımını ve şifrelenmiş sanal makineleri dağıttı.
Devlet sözcüsüne göre, soruşturmada dosyaların başarılı bir şekilde çıkartıldığına veya bilgilerin bir sızıntı sitesinde yayınlandığına dair herhangi bir “kesin kanıt” bulunamadı. Ancak önceki bir devlet çalışanına ait verileri içeren bir dosyanın çalındığı doğrulandı ve bu kişiye bilgi verilecek.