Americký stát Nevada zveřejnil detailní technickou zprávu o ransomwarovém incidentu, který zasáhl desítky státních agentur a dočasně narušil klíčové služby, včetně webů, telefonie a online systémů. Popis je nezvykle otevřený: mapuje celý průběh od prvotního průniku až po obnovu provozu a ukazuje, jak rychle se z „jednoho kliknutí“ může stát plošný problém napříč infrastrukturou.
Podle zprávy získal útočník počáteční přístup v květnu 2025. Zaměstnanec při hledání nástroje pro správu systému narazil ve vyhledávání na škodlivou reklamu, která ho přesměrovala na podvodnou stránku napodobující legitimní projekt. Stažená „trojanizovaná“ verze nástroje následně nainstalovala zadní vrátka a zajistila přetrvávající vzdálený přístup. Tento typ scénáře se opakuje i jinde: útočníci často zneužívají popularitu administrátorských utilit, protože cílí na uživatele s vyššími oprávněními.
I když ochranný software v červnu 2025 škodlivý soubor zachytil a odstranil, mechanismus perzistence zůstal funkční. V srpnu 2025 útočník do prostředí přidal nástroje pro vzdálené sledování, záznam obrazovky a kláves, následně použil tunelování a RDP k laterálnímu pohybu. Postupně se dostal i k serveru s trezorem hesel, odkud získal přihlašovací údaje k desítkám účtů, a pokusil se zahladit stopy mazáním logů.
Forenzní šetření uvádí přístup k desítkám tisíc souborů a přípravu vícedílného ZIP archivu s citlivými daty, bez potvrzených důkazů o exfiltraci či zveřejnění. V závěrečné fázi útočník smazal zálohy a upravil nastavení virtualizační správy tak, aby bylo možné spouštět nepodepsaný kód. Ransomware pak zasáhl servery hostující virtuální stroje.
Nevada výkupné neplatila. Do zhruba čtyř týdnů obnovila většinu dat potřebných k návratu služeb. Náklady zahrnovaly tisíce přesčasových hodin státních IT pracovníků a externí podporu v řádu jednotek milionů dolarů. Zpráva zároveň popisuje kroky ke zpřísnění přístupů a omezení účtů; „prioritou bylo zabezpečit nejcitlivější systémy a omezit přístup na nezbytný personál“.
Zdroj: BleepingComputer
