O Estado de Nevada divulgou um relatório detalhado sobre o ataque hacker que resultou na implantação de ransomware em seus sistemas em agosto, além das ações adotadas para restaurar os serviços afetados.
Este documento é uma raridade: trata-se de um relatório técnico transparente, emitido por um órgão federal dos EUA, que descreve todas as etapas do ataque e serve como exemplo sobre como incidentes de cibersegurança devem ser gerenciados.
O ataque impactou mais de 60 agências estaduais, interrompendo serviços essenciais, que iam desde sites e telefonia até plataformas online.
Sem pagar o resgate, Nevada conseguiu recuperar 90% dos dados afetados em 28 dias, restabelecendo as operações críticas.
Segundo o relatório divulgado hoje, o Estado detalha de forma transparente desde o ponto inicial da invasão até as ações realizadas após a detecção da atividade maliciosa.
Embora a violação tenha sido descoberta em 24 de agosto, o acesso inicial foi obtido em 14 de maio, quando um funcionário estadual baixou uma versão trojanizada de uma ferramenta de administração de sistemas.
De acordo com o documento, o colaborador buscou no Google por uma ferramenta de administração e encontrou um anúncio malicioso que o direcionou a um site falso, que imitava a página oficial do projeto.
Neste site fraudulento, foi oferecida uma versão infectada da ferramenta com malware, que instalou uma backdoor no dispositivo do funcionário.
Os hackers têm usado cada vez mais anúncios nos motores de busca para promover malwares disfarçados de ferramentas administrativas populares como WinSCP, PuTTY, RVTools, KeePass, LogMeIn e AnyDesk.
Ao instalar o malware, eles obtêm acesso inicial às redes corporativas.
Como essas ferramentas são destinadas a administradores de sistemas, o objetivo é obter privilégios elevados ao comprometer esses profissionais de TI.
Após a execução, o malware configurou uma backdoor oculta que se conectava automaticamente à infraestrutura dos criminosos toda vez que o usuário fazia login, garantindo acesso remoto persistente à rede interna do estado.
Em 26 de junho, o Symantec Endpoint Protection (SEP) identificou e colocou em quarentena a ferramenta maliciosa, removendo-a do computador infectado; porém, o mecanismo de persistência resistiu, e os hackers continuaram acessando o ambiente.
No dia 5 de agosto, o invasor instalou um software comercial de monitoramento remoto em um sistema, permitindo gravação de tela e keylogging.
Uma segunda infecção com a mesma ferramenta ocorreu dez dias depois.
Entre 14 e 16 de agosto, o atacante lançou uma ferramenta personalizada de túnel de rede criptografado para contornar controles de segurança e estabeleceu sessões de Remote Desktop Protocol (RDP) em vários servidores.
Esse tipo de acesso remoto permitiu movimentos laterais entre servidores críticos, incluindo o servidor de vault de senhas, de onde foram obtidas credenciais de 26 contas.
Os hackers também apagaram logs de eventos para ocultar suas ações.
A equipe de resposta a incidentes da Mandiant confirmou que o invasor acessou 26.408 arquivos em múltiplos sistemas e preparou um arquivo .ZIP dividido em seis partes contendo informações sensíveis.
A investigação não encontrou evidências de que os dados tenham sido exfiltrados ou publicados.
Em 24 de agosto, o invasor autenticou-se no servidor de backup e deletou todos os volumes para impedir a recuperação dos dados.
Em seguida, acessou o servidor de gerenciamento de virtualização com privilégios root para alterar configurações de segurança, permitindo a execução de código não assinado.
Às 08h30min18s (UTC), o ransomware foi implantado em todos os servidores que hospedavam as máquinas virtuais do estado.
O Gabinete de Tecnologia do Governador (Governor’s Technology Office – GTO) detectou a interrupção cerca de 20 minutos depois (01h50min, horário local), marcando o início de uma recuperação que duraria 28 dias em todo o estado.
Nevada adotou uma postura firme contra o pagamento do resgate, contando exclusivamente com sua equipe de TI, que trabalhou em regime de horas extras para restaurar os sistemas e serviços.
A análise de custos revela que 50 funcionários estaduais efetuaram 4.212 horas extras, acarretando um custo salarial de US$ 259 mil para o estado.
Esse esforço possibilitou o processamento pontual da folha de pagamento, a manutenção das comunicações de segurança pública e a rápida retomada dos serviços ao cidadão, economizando cerca de US$ 478 mil em comparação com taxas habituais de prestadores externos (US$ 175 por hora).
Os gastos com suporte de fornecedores externos durante a resposta ao incidente totalizaram pouco mais de US$ 1,3 milhão, detalhados em tabela no relatório oficial.
Vale destacar que o grupo responsável pelo ransomware não foi identificado.
A BleepingComputer não encontrou reivindicações do ataque em sites de extorsão conhecidos.
O episódio evidencia a resiliência cibernética de Nevada, graças a uma ação rápida e baseada em um “playbook” definido, além da transparência exemplar na divulgação.
Apesar dos custos e esforços da recuperação, o Estado aproveitou para fortalecer suas defesas, seguindo recomendações de fornecedores confiáveis.
“O GTO concentrou-se inicialmente na proteção dos sistemas mais sensíveis, garantindo que o acesso fosse restrito ao pessoal essencial”, afirma o relatório.
Entre as medidas técnicas e estratégicas, destacam-se a remoção de contas antigas ou desnecessárias, redefinição de senhas e revogação de certificados de segurança obsoletos.
Regras de sistema e permissões também foram revisadas para assegurar que apenas usuários autorizados tenham acesso a configurações críticas.
No entanto, o Estado reconhece que ainda há muito a melhorar e destaca a importância de investir continuamente em cibersegurança, especialmente em monitoramento e resposta, já que as táticas, técnicas e procedimentos dos atacantes evoluem constantemente.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...