Atak ransomware na Nevadę zaczął się miesiące wcześniej. Co ujawnia raport „after-action”?

Wprowadzenie do problemu / definicja luki

Stan Nevada opublikował szczegółowy raport „after-action”, z którego wynika, iż wykryty 24 sierpnia 2025 r. atak ransomware rozpoczął się już 14 maja 2025 r., gdy pracownik pobrał trojanizowane narzędzie administracyjne z fałszywej strony podsuniętej przez reklamę wyszukiwarki. W efekcie napastnik zyskał trwałe „tylne drzwi”, a następnie miesiącami budował pozycję w sieci stanowej. Władze potwierdziły brak zapłaty okupu i koszty reakcji co najmniej 1,5 mln USD.

W skrócie

• Start infiltracji: 14 maja 2025 r. – instalacja narzędzia złośliwie podszytego pod popularne oprogramowanie IT (ad/SEO-poisoning).
• Wykrycie: 24 sierpnia 2025 r. – stan odnotowuje awarię i rozpoczyna działania kryzysowe; wyłączono serwisy i telefony, część urzędów zamknięto.
• Skala wpływu: >60 agencji, utrudnione wydawanie praw jazdy i weryfikacje pracownicze; 28 dni do odtworzenia usług.
• Koszty i decyzje: ≥1,5 mln USD (w tym ~1,3 mln dla kontraktorów z polisy cyber), brak okupu; ponad 4 212 godzin nadgodzin (raport stanowy).
• Dane: przygotowano archiwum ZIP z wrażliwymi informacjami; brak potwierdzenia skutecznej eksfiltracji/publicacji.

Kontekst / historia / powiązania

Raport wpisuje się w trend uderzeń w administrację stanową i miejską w USA – od Fulton County (LockBit, 2024) po Baltimore (2019). W porównaniu z kosztami incydentu w MGM Resorts (2023), szacowanymi na >100 mln USD, uderzenie w Nevadę było tańsze, ale i tak znacząco zakłóciło usługi publiczne.

Analiza techniczna / szczegóły luki

Wektor wejścia: pracownik, szukając narzędzia administracyjnego, trafił na spreparowaną reklamę prowadzącą do fałszywej strony (malvertising/SEO-poisoning) i pobrał trojanizowany instalator. Ten zainstalował ukryty backdoor, który – choćby po usunięciu samego narzędzia – utrzymał zdalny dostęp napastników.

Ruch boczny i eskalacja: w sierpniu atakujący zestawili szyfrowane tunele, używali RDP do poruszania się po środowisku i dotarli do serwera skarbca haseł (pozyskano dane dostępowe m.in. do 26 kont). W pewnym momencie skasowano wolumeny kopii zapasowych i zmodyfikowano ustawienia wirtualizacji, by umożliwić uruchamianie niesygnowanych obrazów – przygotowując grunt pod szyfrowanie VM-ów.

Szyfrowanie i ślady: 24 sierpnia o 08:30:18 UTC rozpętano szyfrowanie na hostach wirtualizacji; logi były czyszczone, by utrudnić dochodzenie. Utworzono też archiwum ZIP z danymi, ale śledczy nie potwierdzili faktycznej eksfiltracji.

Praktyczne konsekwencje / ryzyko

• Zakłócenia usług krytycznych: brak dostępu do usług online, telefonów, opóźnienia w wydawaniu dokumentów i weryfikacjach pracowniczych.
• Ryzyko tożsamościowe: chociaż brak dowodu wycieku na zewnątrz, dostęp do skarbca haseł i przygotowanie paczek z danymi zwiększa prawdopodobieństwo wtórnych nadużyć (próby logowań, spear-phishing, BEC).
• Ryzyko systemowe: zdecentralizowana architektura IT ułatwiła rozprzestrzenianie się ataku i utrudniła koordynację reakcji.

Rekomendacje operacyjne / co zrobić teraz

1. SOC 24/7 i unifikacja telemetrii – centralny, stanowy SOC z pełnym wglądem w logi; szybka korelacja zdarzeń. To jedno z zaleceń w raporcie.
2. EDR/XDR na wszystkich endpointach i serwerach – wykrywanie backdoorów, tuneli szyfrowanych i nietypowego RDP/LAPSUS.
3. Higiena kopii zapasowych – offline/immutable (WORM), segmentacja stref backupu, regularne testy odtworzeniowe; monitoring operacji na backupach.
4. Ochrona przed malvertising/SEO-poisoning – blokowanie reklam w wyszukiwarce dla kont uprzywilejowanych, allow-listing źródeł oprogramowania, edukacja adminów.
5. Twarde PAM i skarbce haseł – izolacja, MFA, alertowanie na dump/eksport sekretów; „czterooki” dostęp do kont wysoko-uprzywilejowanych.
6. Segmentacja i zasada najmniejszych uprawnień – mikrosegmentacja ruchu serwerowego, blokady RDP między strefami, JIT/JEA dla administracji.
7. Playbooki IR i ćwiczenia – ćwiczone scenariusze „szyfrowanie VM-ów”, komunikacja kryzysowa i procedury pracy offline.

Różnice / porównania z innymi przypadkami

• Czas wykrycia: ok. 3 miesiące (Nevada) vs. często 7–8 miesięcy w statystykach branżowych – tu na plus, choć i tak za długo.
• Koszt całkowity: ~1,5 mln USD (Nevada, administracja) vs. >100 mln USD w ataku na prywatny podmiot (MGM, 2023).
• Decyzja o okupu: Nevada nie zapłaciła; część samorządów w USA bywała do tego zmuszana, co potwierdzają głośne przypadki na przestrzeni ostatnich lat.

Podsumowanie / najważniejsze wnioski

Atak na Nevadę to podręcznikowy przykład, jak pojedynczy błąd użytkownika uprzywilejowanego – połączony z malvertisingiem i brakiem centralnej telemetrii – umożliwia cichy, wielomiesięczny rozwój intruza aż do szyfrowania VM-ów i ataku na kopie zapasowe. Dla administracji publicznej wnioski są jasne: scentralizowany SOC, EDR/XDR, odporne kopie i twardy PAM to inwestycje, które zwracają się w dniu incydentu.

Źródła / bibliografia

• SecurityWeek / Associated Press: „Nevada Ransomware Attack Started Months Before It Was Discovered, Per Report” (06.11.2025). (SecurityWeek)
• AP News: „Nevada cyberattack cost at least $1.5 million” (05–06.11.2025). (AP News)
• BleepingComputer: „How a ransomware gang encrypted Nevada government’s systems” (06.11.2025). (BleepingComputer)
• The Nevada Independent: „Report: Nevada didn’t pay ransom …” (05.11.2025). (The Nevada Independent)
• GovTech: „Report IDs Source of Nevada Cyber Attack, Looks Ahead” (05.11.2025). (GovTech)