Il campanello d’allarme del ransomware del Nevada: il caso della gestione degli accessi privilegiati

Recentemente il Governor’s Technology Office (GTO) dello Stato del Nevada ha pubblicato un "After Action Report" (rapporto post azione) sull’attacco ransomware a livello statale che ha provocato l’interruzione nel funzionamento dei sistemi statali per quasi un mese nell’agosto 2025. Il rapporto descrive non solo cosa è accaduto, ma anche la risposta coordinata all’incidente da parte del GTO, dei fornitori e di chi collabora con le forze dell’ordine a livello locale, statale e federale. Questo attacco informatico in tutto lo Stato mette in evidenza la necessità fondamentale di una gestione degli accessi privilegiati (PAM) per gestire e proteggere l’accesso a sistemi e dati altamente sensibili.

Che cosa è successo durante l’attacco ransomware in Nevada?

Lo Stato del Nevada ha scoperto per la prima volta la violazione il 24 agosto 2025, quando varie macchine virtuali sono andate offline, interrompendo il funzionamento di siti web governativi, sistemi telefonici e piattaforme online in 60 agenzie governative statali. I sistemi informatici di agenzie come la Nevada Health Authority hanno smesso di funzionare, costringendo i dipendenti a ricorrere a soluzioni alternative e a tornare ai processi cartacei. Tra le altre agenzie interessate vi sono il Nevada Department of Motor Vehicles, il Nevada Department of Public Safety e la Nevada Highway Patrol. Anche i sistemi del portale principale dello Stato, NV.gov, e dell’ufficio del governatore hanno smesso di funzionare o lo hanno fatto in modo non corretto.

La violazione è stata infine ricondotta a un attacco di ingegneria sociale avvenuto nel maggio 2025, quando un impiegato statale ha cercato uno strumento di amministrazione del sistema e ha fatto inconsapevolmente clic su un annuncio dannoso. In questo modo, il dipendente ha scaricato un malware da un sito web contraffatto e il malware ha installato una backdoor che si è collegata all’infrastruttura del malintenzionato, consentendo così un accesso remoto non autorizzato. Sebbene il Symantec Endpoint Protection (SEP) abbia rilevato e messo in quarantena il malware il 26 giugno 2025, ormai era troppo tardi e il malintenzionato aveva già ottenuto i privilegi per muoversi lateralmente attraverso la rete dello stato.

Il rapporto afferma:

Tra il 16 e il 24 agosto, il malintenzionato (TA, threat actor) ha utilizzato RDP per spostarsi tra server critici, accedere a più directory, file e server, tra cui il server cassaforte delle password, per recuperare le password da 26 account. Il malintenzionato cancellava costantemente i registri degli eventi per nascondere la propria attività.

Il 24 agosto 2025, il malintenzionato ha cancellato i backup di informazioni sensibili e ha distribuito il ransomware su tutta l’infrastruttura virtuale dello Stato. Lo Stato del Nevada non ha pagato il riscatto ed è riuscito a recuperare il 90% dei dati compromessi necessari per ripristinare i servizi interessati. Tuttavia, oltre ai costi degli straordinari per i dipendenti statali impegnati nel ripristino dei servizi, lo Stato ha anche pagato oltre 1 milione di dollari per il supporto ai fornitori esterni. L’intera portata dei dati rubati è ancora oggetto di indagine. Il Chief Information Officer del Nevada, Timothy Galluzi, in una conferenza stampa ha dichiarato che alcuni dati statali sono stati esfiltrati dal sistema statale senza autorizzazione; tuttavia, non è chiaro quale tipo di dati siano stati rubati.

Una volta recuperati i sistemi, il GTO ha apportato diverse modifiche per rafforzare le difese di sicurezza informatica dello Stato. Innanzitutto, ha messo in sicurezza i sistemi più sensibili e ha garantito che l’accesso fosse limitato solo al personale essenziale. Il team ha inoltre rivisto le regole e le autorizzazioni del sistema per prevenire futuri accessi non autorizzati, un aspetto fondamentale della PAM.

Come KeeperPAM avrebbe potuto contribuire a limitare l’attacco

I criminali informatici hanno cercato un accesso elevato alla rete dello stato mirando specificamente ai dipendenti IT, sapendo che era probabile che fossero in possesso di privilegi elevati. Sebbene una soluzione PAM non avrebbe impedito all’utente di fare clic su un link verso un sito web contraffatto, avrebbe potuto bloccare l’installazione dello strumento malevolo e limitare la portata dell’attacco impedendo il movimento laterale del malintenzionato e l’accesso alle casseforti e ai server dopo l’ingresso iniziale. Ecco alcuni modi in cui KeeperPam ti avrebbe potuto aiutare:

1. Contenimento dell’escalation dei privilegi degli endpoint

Quando il malware è stato installato su una workstation interna, ha ottenuto il controllo amministrativo aggirando le protezioni locali degli endpoint. Questo tipo di escalation è comune quando gli utenti hanno privilegi eccessivi o possono installare software non approvati.

Keeper Endpoint Privilege Manager (EPM) applica l’accesso con privilegi minimi per progettazione. Gli utenti sono gestiti come utenti standard e le applicazioni che richiedono diritti elevati devono essere approvate esplicitamente. Le policy possono bloccare installatori non affidabili, limitare l’abuso di PowerShell e degli script e imporre flussi di lavoro di approvazione per le azioni privilegiate. In combinazione con gli avvisi e la registrazione degli audit, i team di sicurezza ottengono visibilità su ogni tentativo di richiesta di elevazione. Il falso strumento informatico che ha attivato la violazione nel Nevada non sarebbe stato installato senza l’approvazione iniziale.

2. Eliminazione dei privilegi permanenti

KeeperPAM elimina il rischio di acquisizione di privilegi amministrativi. Attraverso l’accesso Just-in-Time (JIT), KeeperPAM garantisce che le credenziali amministrative siano disponibili solo quando necessario e solo per il tempo necessario. Per impostazione predefinita, gli utenti operano con diritti standard e, quando hanno bisogno di autorizzazioni elevate, tali privilegi vengono concessi temporaneamente e scadono automaticamente al completamento dell’attività richiesta.

KeeperPAM fornisce anche una rotazione automatica delle credenziali che cambia costantemente le password degli account di amministrazione e di servizio. Anche se un criminale informatico riesce a ottenere le credenziali, tali credenziali diventano inutilizzabili nel giro di pochi minuti. Nel caso del Nevada, il codice dannoso non avrebbe potuto raccogliere o riutilizzare le credenziali di amministratore memorizzate nella cache per spostarsi lateralmente tra i server.

3. Prevenzione del movimento laterale

Una volta che i malintenzionati riescono a entrare, il loro passo successivo è quasi sempre il movimento laterale, passando da un computer all’altro tramite RDP per raggiungere obiettivi di alto valore come controller di dominio o server di database. KeeperPAM avrebbe limitato significativamente o addirittura impedito il movimento laterale nell’attacco nel Nevada, in quanto i criminali informatici non avrebbero potuto usare RDP per muoversi tra sistemi.

Keeper Connection Manager, componente centrale di KeeperPAM, impone l’accesso zero-trust a server e database. Anziché esporre le porte RDP o SSH sulla rete, KCM gestisce tutte le sessioni utilizzando un gateway sicuro. Le credenziali vengono inserite direttamente dalla cassaforte crittografata. Gli utenti non possono vedere o gestire mai le credenziali e tutte le sessioni sono verificabili e registrate. Se gli aggressori del Nevada avessero cercato di utilizzare delle credenziali rubate per il movimento laterale RDP o SSH, le connessioni sarebbero fallite.

4. Protezione delle credenziali

Quasi la metà di tutte le violazioni riguarda credenziali compromesse. Una volta all’interno di una rete, gli attaccanti spesso raccolgono password memorizzate, token o credenziali amministrative locali per spostarli attraverso la rete. KeeperPAM presenta un’architettura zero-trust e zero-knowledge , il che significa che tutta la crittografia e la decrittazione avvengono localmente sul dispositivo dell’utente. Invece di limitarsi a memorizzare le credenziali, Keeper isola, cripta, ruota e inietta le credenziali in modo da rendere praticamente impossibile il furto di credenziali.

• I segreti sono criptati a livello locale e illeggibili per chiunque ad eccezione dell’utente
• Le credenziali non sono mai visibili, archiviate o riutilizzate sugli endpoint
• I diritti amministrativi sono temporanei e strettamente controllati
• Le password e le chiavi ruotano automaticamente
• I log di audit completi garantiscono responsabilità e tracciabilità

Anche se i criminali informatici nel caso del Nevada avessero raggiunto un server di gestione delle password, non sarebbero stati in grado di decifrare o esportare le credenziali in chiaro.

5. Monitoraggio in tempo reale e contenimento rapido

KeeperPAM garantisce piena visibilità e controllo sulle attività privilegiate.

• Ogni sessione privilegiata viene registrata e loggata per l’auditing e l’analisi forense
• Il monitoraggio in tempo reale delle sessioni consente agli amministratori di osservare o interrompere le connessioni sospette in tempo reale
• KeeperAI può analizzare automaticamente l’attività degli utenti, stabilire i rischi e terminare le sessioni quando viene rilevata un’attività sospetta
• La rotazione e la revoca immediata delle credenziali possono bloccare gli account compromessi con una sola azione
• L’integrazione con la Gestione delle informazioni e degli eventi di sicurezza (SIEM) e le piattaforme di Security Orchestration, Automation and Response (SOAR) consente flussi di lavoro automatici di avvisi e risposte

Se questi controlli fossero stati operativi, il team di sicurezza del Nevada avrebbe potuto rapidamente individuare la sessione non autorizzata, far ruotare le credenziali e contenere l’intrusione prima che avvenisse l’esfiltrazione dei dati, oppure impedire del tutto il download del malware insieme a RBI ed EPM.

FedRAMP e GovRAMP autorizzati per il settore pubblico

Keeper Security Government Cloud (KSGC) è la versione di KeeperPAM ospitata su Amazon Web Services (AWS) GovCloud, che soddisfa i requisiti di sicurezza e conformità FedRAMP. AWS GovCloud è progettato per ospitare dati sensibili e carichi di lavoro regolamentati, nel rispetto dei rigorosi standard di conformità del governo degli Stati Uniti.

Con KSGC, le agenzie governative ottengono una soluzione PAM zero-trust scalabile che verifica costantemente ogni tentativo di accesso, indipendentemente dalla posizione o dal dispositivo. I controlli degli accessi basati sui ruoli (RBAC) e il monitoraggio in tempo reale applicano il principio del minimo privilegio e forniscono piena visibilità su tutte le attività privilegiate.

Che ne dici di scoprire come Keeper può aiutare la tua organizzazione a proteggersi dagli attacchi ransomware e a soddisfare i requisiti di zero-trust? Richiedi una demo di KSGC oggi stesso.