De ransomware wake-up call van Nevada: het pleidooi voor Privileged Access Management

Het Governor’s Technology Office (GTO) van de staat Nevada heeft onlangs een “After Action Report” vrijgegeven over de staatsbrede ransomware-aanval die de staatssystemen gedurende bijna een maand in augustus 2025 heeft verstoord. Het rapport beschrijft niet alleen wat er is gebeurd, maar ook de gecoördineerde reactie op het incident door de GTO, leveranciers en wetshandhavingspartners van lokale, staats- en federale instanties. Deze staatsbrede cyberaanval benadrukt de cruciale noodzaak van Privileged Access Management (PAM) om toegang tot zeer gevoelige systemen en gegevens te beheren en te beveiligen.

Wat gebeurde er tijdens de ransomware-aanval in Nevada?

De staat Nevada ontdekte de inbreuk op 24 augustus 2025, toen meerdere virtuele machines offline gingen, wat leidde tot verstoringen van overheidswebsites, telefoonsystemen en online platforms bij 60 overheidsinstanties. Instanties zoals de Nevada Health Authority moesten systemen offline halen, waardoor werknemers tijdelijke oplossingen moesten gebruiken en terug moesten keren naar papieren processen. Andere betrokken instanties waren onder meer het Nevada Department of Motor Vehicles, het Nevada Department of Public Safety en de Nevada Highway Patrol. Het hoofdportaal van de staat, NV.gov, en het kantoor van de gouverneur werden ook offline gehaald of ondervonden een verminderde werking.

De inbreuk werd uiteindelijk herleid tot een social engineering-aanval die plaatsvond in mei 2025, toen een overheidsmedewerker op zoek was naar een systeembeheertool en onbewust op een kwaadaardige advertentie klikte. Daarbij downloadde de medewerker malware van een vervalste website. Deze malware installeerde een backdoor die verbinding maakte met de infrastructuur van de aanvaller, waardoor ongeautoriseerde toegang op afstand mogelijk werd. Hoewel Symantec Endpoint Protection (SEP) de malware op 26 juni 2025 ontdekte en in quarantaine plaatste, was het te laat en had de aanvaller al privileges opgevoerd om lateraal door het staatsnetwerk te bewegen.

In het rapport staat:

Tussen 16 en 24 augustus gebruikte de TA (threat actor) RDP om zich tussen kritieke servers te verplaatsen, toegang te krijgen tot meerdere mappen, bestanden en servers, waaronder de wachtwoordkluisserver, om wachtwoorden van 26 accounts te bemachtigen. De TA heeft consequent gebeurtenislogboeken gewist om zijn of haar activiteiten te verbergen.

Op 24 augustus 2025 verwijderde de aanvaller back-ups van gevoelige informatie en verspreidde ransomware over de virtuele infrastructuur van de staat. De staat Nevada heeft uiteindelijk geen losgeld betaald en kon 90% van de aangetaste gegevens herstellen, wat nodig was om de getroffen services te herstellen. Naast overuren die staatsmedewerkers moesten draaien om diensten te herstellen, betaalde de staat echter ook meer dan $ 1 miljoen voor externe leveranciersondersteuning. De volledige omvang van de gestolen gegevens wordt nog onderzocht. De Chief Information Officer van Nevada, Timothy Galluzi, deelde tijdens een persconferentie mee dat er zonder toestemming staatsgegevens uit het systeem van de staat zijn gestolen; het is echter onduidelijk om welk type gegevens het gaat.

Nadat de systemen waren hersteld, voerde de GTO verschillende wijzigingen door om de cyberbeveiliging van de staat te versterken. Ze beveiligden eerst de meest gevoelige systemen en zorgden ervoor dat de toegang beperkt bleef tot essentieel personeel. Het team heeft ook systeemregels en -rechten herzien om toekomstige ongeautoriseerde toegang te voorkomen, een cruciaal aspect van PAM.

Hoe KeeperPAM had kunnen helpen de aanval te beperken

De cybercriminelen zochten verhoogde toegang tot het netwerk van de staat door zich specifiek te richten op IT-medewerkers, wetende dat zij waarschijnlijk verhoogde privileges hadden. Hoewel een PAM-oplossing de gebruiker niet zou hebben tegengehouden om op een link naar een gespoofde website te klikken, had het de kwaadaardige tool kunnen blokkeren bij installatie en de omvang van de aanval kunnen beperken door de laterale beweging van de aanvaller en toegang tot kluizen en servers na de eerste inbreuk te verhinderen. Hier zijn enkele manieren waarop KeeperPam zou hebben geholpen:

1. Beperken van escalatie van eindpunt-privileges

Nadat de malware op een intern werkstation was geïnstalleerd, verkreeg deze beheerdersrechten door de beveiliging van het lokale eindpunt te omzeilen. Dit type escalatie komt vaak voor wanneer gebruikers buitensporige privileges hebben of niet-goedgekeurde software kunnen installeren.

Keeper Endpoint Privilege Manager (EPM) is ontworpen om toegang op basis van minimale privileges te handhaven. Gebruikers werken als standaardgebruikers en applicaties die verhoogde rechten vereisen, moeten expliciet worden goedgekeurd. Beleidsregels kunnen onbetrouwbare installers blokkeren, misbruik van PowerShell en scripting beperken en goedkeuringsworkflows afdwingen voor bevoorrechte acties. In combinatie met auditlogboeken en waarschuwingen krijgen beveiligingsteams zo inzicht in elke aanvraag tot verhoging van rechten. De valse IT-tool die het lek in Nevada veroorzaakte, zou nooit zonder goedkeuring zijn geïnstalleerd.

2. Afschaffing van permanente bevoegdheden

KeeperPAM elimineert het risico van permanente beheerdersrechten. Via Just-in-Time (JIT) toegang zorgt KeeperPAM ervoor dat aanmeldingsgegevens op beheerdersniveau alleen beschikbaar zijn wanneer dat nodig is en zolang dat nodig is. Gebruikers werken standaard met standaardrechten, en wanneer ze verhoogde rechten nodig hebben, worden deze rechten tijdelijk toegekend en vervallen ze automatisch wanneer de betreffende taak voltooid is.

KeeperPAM biedt ook automatische rotatie van aanmeldingsgegevens waarmee de wachtwoorden van beheerders- en serviceaccounts continu veranderen. Zelfs als een cybercrimineel erin slaagt aanmeldingsgegevens te verkrijgen, worden ze binnen enkele minuten onbruikbaar. In het geval van Nevada zou de kwaadaardige code niet in staat zijn geweest om in de cache opgeslagen aanmeldingsgegevens op beheerdersniveau te verzamelen of te hergebruiken om lateraal over servers te bewegen.

3. Voorkomen van laterale beweging

Zodra aanvallers toegang hebben verkregen, is hun volgende stap bijna altijd laterale beweging, waarbij ze via RDP van de ene machine naar de andere springen om waardevolle doelen zoals domeincontrollers of databaseservers te bereiken. KeeperPAM zou de laterale beweging tijdens de Nevada-aanval aanzienlijk hebben beperkt of zelfs verhinderd, omdat de cybercriminelen RDP niet zouden kunnen gebruiken om zich tussen systemen te verplaatsen.

Keeper Connection Manager, een kerncomponent van KeeperPAM, handhaaft zero-trust toegang tot servers en databases. In plaats van RDP- of SSH-poorten op het netwerk open te stellen, bemiddelt KCM elke sessie via een beveiligde gateway. Aanmeldingsgegevens worden rechtstreeks vanuit de versleutelde kluis geïnjecteerd. Gebruikers zien of gebruiken de aanmeldingsgegevens nooit zelf, en alle sessies kunnen gecontroleerd en vastgelegd worden. Als de aanvallers in Nevada hadden geprobeerd gestolen aanmeldingsgegevens te gebruiken voor laterale RDP- of SSH-bewegingen, zouden hun verbindingen zijn verbroken.

4. Bescherming van aanmeldingsgegevens

Bijna de helft van alle datalekken betreft gecompromitteerde aanmeldingsgegevens. Eenmaal binnen een netwerk bemachtigen aanvallers vaak opgeslagen wachtwoorden, tokens of lokale aanmeldingsgegevens om zich verder door het netwerk te verplaatsen. KeeperPAM heeft een zero-trust en zero-knowledge architectuur, wat betekent dat alle encryptie en decryptie lokaal op het apparaat van de gebruiker plaatsvindt. In plaats van aanmeldingsgegevens op te slaan, isoleert, roteert en injecteert Keeper ze op een manier die diefstal van aanmeldingsgegevens praktisch onmogelijk maakt.

• Geheimen worden lokaal versleuteld en zijn voor niemand leesbaar behalve voor de gebruiker
• Aanmeldingsgegevens zijn nooit zichtbaar en worden nooit opgeslagen of hergebruikt op eindpunten
• Beheerdersrechten zijn tijdelijk en worden streng gecontroleerd
• Wachtwoorden en sleutels worden automatisch geroteerd
• Volledige auditlogboeken garanderen verantwoording en traceerbaarheid

Zelfs als de aanvallers in Nevada een wachtwoordbeheerserver hadden bereikt, hadden ze geen onversleutelde aanmeldingsgegevens kunnen decoderen of exporteren.

5. Realtime monitoring en snelle beheersing

KeeperPAM biedt volledige zichtbaarheid en controle over bevoorrechte activiteiten.

• Elke bevoorrechte sessie wordt opgenomen en geregistreerd voor audits en forensisch onderzoek
• Dankzij live sessiebewaking kunnen beheerders verdachte verbindingen in realtime observeren of beëindigen
• KeeperAI kan automatisch gebruikersactiviteiten analyseren, risico’s vaststellen en sessies beëindigen wanneer verdachte activiteit wordt gedetecteerd
• Met onmiddellijke rotatie en intrekking van aanmeldingsgegevens kunnen gecompromitteerde accounts met één handeling worden vergrendeld.
• Integratie met Beheer van beveiligingsinformatie en -evenementen (SIEM) en Beveiligingsorkestratie, automatisering en respons (SOAR)-platforms maakt geautomatiseerde waarschuwingen en responsworkflows mogelijk

Als deze controlemechanismen aanwezig waren geweest, had het beveiligingsteam van Nevada de onbevoegde sessie snel kunnen identificeren, de aanmeldingsgegevens kunnen roteren en de inbreuk kunnen voorkomen voordat de exfiltratie van gegevens plaatsvond, of ze hadden de download van malware geheel kunnen voorkomen met RBI en EPM.

FedRAMP- en GovRAMP-goedgekeurd voor de publieke sector

Keeper Security Government Cloud (KSGC) is de versie van KeeperPAM die wordt gehost in Amazon Web Services (AWS) GovCloud en voldoet aan de FedRAMP beveiligings- en nalevingsvereisten. AWS GovCloud is ontworpen om gevoelige gegevens en gereguleerde workloads te hosten en ondersteunt de strikte nalevingsnormen van de Amerikaanse overheid.

Met KSGC krijgen overheidsinstellingen een schaalbare, zero-trust PAM-oplossing die elke toegangspoging continu verifieert, ongeacht de locatie of het apparaat. Rolgebaseerde toegangscontroles (RBAC) en realtime monitoring dwingen minimale privileges af en bieden volledige zichtbaarheid over alle geprivilegieerde activiteiten.

Ben je er klaar voor om verder te lezen over hoe Keeper jouw organisatie kan helpen beschermen tegen ransomware en te voldoen aan de zero-trust-vereisten? Vraag vandaag nog een demo van KSGC aan.