Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Како банда со рансомвер ги шифрираше системите на владата на Невада

Објавено: 07.11.2025

Државата Невада објави извештај по завршување на инцидентот, во кој детално се опишува како хакерите ги пробиле нејзините системи и распоредиле рансомвер во август, како и чекорите што биле преземени за опоравување по нападот.

Овој документ е еден од ретките целосно транспарентни технички извештаи од федерална влада во САД за инцидент во сајбер-безбедност, во кој се опишани сите чекори на напаѓачите и се поставува пример за тоа како треба да се постапува при вакви инциденти.

Инцидентот погодил повеќе од 60 државни агенции и ги нарушил основните услуги – од веб-страници и телефонски системи до онлајн платформи. По 28 дена, без да плати откуп, државата успеала да поврати 90% од засегнатите податоци кои биле потребни за повторно функционирање на услугите.

Во извештајот објавен денес, државата Невада со целосна транспарентност ги опишува начинот на кој се случила почетната компромитација, активностите на заканувачот во нејзината мрежа и чекорите што биле преземени по откривањето на злонамерната активност.

Рансомвер напад во тек

Иако пробивот бил откриен на 24 август, хакерот всушност добил почетен пристап уште на 14 мај, кога државен вработен користел тројанизирана верзија на алатка за системска администрација. Според извештајот, државниот службеник пребарувал на Google за да преземе административна алатка, но наместо тоа му бил прикажан злонамерен оглас што го одвел на лажна веб-страница која се претставувала како оригиналниот проект.

Оваа лажна страница нудела верзија на алатката заразена со малициозен софтвер, која на уредот на вработениот инсталирала „backdoor“ за пристап.

Во последно време, заканувачите сè почесто користат платени огласи при пребарување за да шират малициозни програми маскирани како познати алатки за системска администрација, како што се WinSCP, Putty, RVTools, KeePass, LogMeIn и AnyDesk. Наместо оригиналната алатка, се инсталира малициозен софтвер што на хакерите им овозможува почетен пристап до корпоративните мрежи.

Бидејќи овие алатки обично ги користат системски администратори, напаѓачите се надеваат дека со нив ќе добијат повисоки привилегии во мрежата со тоа што ги таргетираат токму тие ИТ вработени.

Откако ќе се изврши, малициозниот софтвер конфигурира скриен „backdoor“ кој автоматски се поврзува со инфраструктурата на напаѓачот секојпат кога корисникот ќе се најави, обезбедувајќи постојан далечински пристап до внатрешната мрежа на државата.

На 26 јуни, Symantec Endpoint Protection (SEP) ја идентификувал и ја ставил во карантин злонамерната алатка, а потоа ја избришал од инфицираната работна станица. Сепак, механизмот за упорност останал активен, па хакерите сè уште имале пристап до околината.

На 5 август, напаѓачот инсталирал комерцијален софтвер за далечински мониторинг на еден систем, што му овозможило снимање на екранот и следење на притиснатите тастери. Десет дена подоцна следела и втора инфекција со истиот алат.

Меѓу 14 и 16 август, напаѓачот распоредил прилагоден, енкриптиран мрежен тунел за да ги заобиколи безбедносните контроли и воспоставил Remote Desktop Protocol (RDP) сесии низ повеќе системи. Овој тип на пристап му овозможил да се движи странично меѓу критичните сервери, вклучувајќи го серверот за лозинки, од каде извлекол акредитиви за 26 сметки, а потоа ги избришал логовите на настани за да ги сокрие своите активности.

Тимот за одговор при инциденти на Mandiant потврдил дека напаѓачот пристапил до 26.408 датотеки низ повеќе системи и подготвил шестделна .ZIP архива со чувствителни информации.

Истражувањето не нашло докази дека податоците биле извезени или објавени.

На 24 август, напаѓачот се автентицирал на серверот за бекап и ги избришал сите резервни копии за да ја оневозможи можноста за обновување, а потоа се најавил на серверот за виртуелизација како „root“ и ги изменил безбедносните поставки за да овозможи извршување на непотпишан код.

Во 08:30:18 UTC, напаѓачот распоредил верзија на рансомвер на сите сервери што ги хостирале виртуелните машини (VMs) на државата.

Канцеларијата за технологија на гувернерот (GTO) го открила прекинот околу 20 минути подоцна (01:50 часот по локално време), со што започнал 28-дневниот процес на обновување на системите низ целата држава.

Плаќање прекувремена работа, не откуп

Државата Невада останала цврста во својата одлука да не плати откуп и се потпирала на сопствениот ИТ персонал и прекувремената работа за да ги обнови засегнатите системи и услуги.

Анализата на трошоците покажува дека 50 државни вработени работеле вкупно 4.212 прекувремени часови, со што на државата ѝ бил предизвикан трошок од 259.000 долари за плати.

Овој пристап овозможил навремена исплата на платите, одржување на комуникациите за јавна безбедност во функција и брзо повторно воспоставување на системите што ги користат граѓаните, со што државата заштедила околу 478.000 долари во споредба со ангажирање на надворешни изведувачи (чии стандардни тарифи изнесуваат 175 долари на час).

Трошоците за поддршка од надворешни компании за време на периодот на одговор на инцидентот изнесувале нешто повеќе од 1,3 милиони долари, и се прикажани во табелата подолу.

VendorService ProvidedObligated Cost
Microsoft DARTUnified Support & Infrastructure Rebuild$354,481
MandiantForensics & Incident Response$248,750
AerisRecovery & Engineering Support$240,000
BakerHostetlerLegal & Privacy Counsel$95,000
SHI (Palo Alto)Network Security Services$69,400
DellData Recovery & Project Management$66,500
Other IR VendorsVarious Support Services~$240,069

Треба да се напомене дека актерот зад рансомверот не е идентификуван по име. BleepingComputer не забележал ниту една поголема хакерска група што ја презела одговорноста за нападот на своите изнудувачки веб-страници.

Инцидентот ја демонстрира сајбер-отпорноста на државата Невада, која реагирала решително и брзо според однапред подготвен „прирачник“ за вакви ситуации, при што покажала и високо ниво на транспарентност што заслужува пофалба.

И покрај големите трошоци и напорите за опоравување, државата Невада истовремено ги засилила своите мерки за сајбер-безбедност, следејќи ги препораките од доверливите надворешни изведувачи (vendors).

GTO (Канцеларијата за технологија на гувернерот) се фокусираше на обезбедување на најчувствителните системи, осигурувајќи дека пристапот е ограничен само на неопходниот персонал“, се наведува во извештајот.

Некои од техничките и стратешките мерки вклучувале:

  • отстранување на стари или непотребни кориснички сметки,
  • ресетирање на лозинки,
  • бришење на застарени безбедносни сертификати.

Дополнително, правилата и дозволите во системите биле ревидирани за да се гарантира дека само овластени корисници имаат пристап до чувствителни поставки.

Сепак, државата признава дека има многу простор за подобрување и ја согледува важноста од инвестирање во сајбер-безбедност, особено за унапредување на способностите за следење и одговор, бидејќи заканувачките актери исто така ги развиваат своите тактики, техники и постапки.

Извори:

  • Bleeping Computer – „How a ransomware gang encrypted Nevada government’s systems“ Bleeping Computer