Ransomware budzi Nevadę do działania: argumenty za zarządzaniem dostępem uprzywilejowanym

Biuro Technologii Gubernatora (Governor’s Technology Office, GTO) stanu Nevada opublikowało niedawno „Raport po działaniach” dotyczący ogólnostanowego ataku ransomware, który w sierpniu 2025 roku zakłócił działanie systemów stanowych na prawie miesiąc. Raport szczegółowo opisuje nie tylko to, co się stało, lecz także skoordynowaną reakcję na incydent ze strony GTO, dostawców i partnerów organów ścigania z lokalnych, stanowych i federalnych agencji. Ten ogólnostanowy cyberatak podkreśla krytyczną potrzebę zarządzania dostępem uprzywilejowanym (PAM) w celu zarządzania i zabezpieczania dostępu do wysoce wrażliwych systemów i danych.

Co się wydarzyło podczas ataku ransomware w Nevadzie?

Stan Nevada po raz pierwszy odkrył naruszenie 24 sierpnia 2025 r., kiedy wiele maszyn wirtualnych przeszło do trybu offline, zakłócając rządowe strony internetowe, systemy telefoniczne i platformy internetowe w 60 stanowych agencjach rządowych. Wiele agencji, takie jak Nevada Health Authority, miały wyłączone systemy, co wymagało od pracowników korzystania z obejść i powrotu do procesów papierowych. Inne dotknięte agencje obejmowały Departament Pojazdów Silnikowych w Nevadzie, Departament Bezpieczeństwa Publicznego w Nevadzie i Patrol Autostradowy Nevady. Główny portal państwowy, Nv.gov, i Biuro Gubernatora również miały wyłączone lub zdegradowane systemy.

Naruszenie ostatecznie wywodzi się z ataku inżynierii społecznej, który miał miejsce w maju 2025 r., kiedy pracownik państwowy szukał narzędzia do administrowania systemem i nieświadomie kliknął złośliwą reklamę. W ten sposób pracownik pobrał złośliwe oprogramowanie ze sfałszowanej strony internetowej, a złośliwe oprogramowanie zainstalowało backdoor, który łączył się z infrastrukturą atakującego, umożliwiając nieautoryzowany zdalny dostęp. Chociaż Symantec Endpoint Protection (SEP) wykrył i poddał kwarantannie złośliwe oprogramowanie 26 czerwca 2025 r., było już za późno, a atakujący miał już eskalowane uprawnienia do poruszania się bocznie po sieci stanowej.

Raport stwierdza:

Między 16 sierpnia a 24 sierpnia TA (podmiot zagrożeń) używał RDP do przemieszczania się między krytycznymi serwerami, uzyskiwania dostępu do wielu katalogów, plików i serwerów – w tym serwera przechowalni haseł – w celu pobierania haseł z 26 kont. TA konsekwentnie usuwało dzienniki zdarzeń, aby ukryć swoją aktywność.

24 sierpnia 2025 r. atakujący usunął kopie zapasowe poufnych informacji i wdrożył ransomware w wirtualnej infrastrukturze stanu. Ostatecznie stan Nevada nie zapłacił okupu i zdołał odzyskać 90% danych niezbędnych do przywrócenia usług. Jednak oprócz kosztów nadgodzin dla pracowników stanowych pracujących nad przywróceniem usług, stan zapłacił również ponad 1 milion dolarów za wsparcie zewnętrznych dostawców. Pełny zakres skradzionych danych pozostaje w trakcie dochodzenia. Dyrektor ds. Informacji stanu Nevada, Timothy Galluzi, powiedział na konferencji prasowej, że niektóre dane stanowe zostały usunięte z systemu stanowego bez zezwolenia; jednak, nie jest jasne, jaki rodzaj danych został skradziony.

Po odzyskaniu systemów GTO wprowadziło kilka zmian, aby wzmocnić obronę państwa przed zagrożeniami cybernetycznymi. Najpierw zabezpieczono najbardziej wrażliwe systemy i zapewniono, że dostęp był ograniczony tylko do niezbędnego personelu. Zespół dokonał również przeglądu reguł systemowych i uprawnień, aby zapobiec nieautoryzowanemu dostępowi w przyszłości, co jest kluczowym aspektem PAM.

Jak KeeperPAM mógłby pomóc ograniczyć atak

Cyberprzestępcy szukali podwyższonego dostępu do sieci stanowej, celując specjalnie na pracowników IT, wiedząc, że prawdopodobnie będą mieli podwyższone przywileje. Chociaż rozwiązanie PAM nie powstrzymałoby użytkownika przed kliknięciem linku do sfałszowanej strony internetowej, mogło zablokować instalację złośliwego narzędzia i ograniczyć zakres ataku, uniemożliwiając ruch boczny atakujący i dostęp do skarbów i serwerów po pierwszym wejściu. Oto kilka sposobów, w jakie KeeperPAM mógłby pomóc:

1. Ograniczanie eskalacji uprawnień punktów końcowych

Gdy złośliwe oprogramowanie zostało zainstalowane na wewnętrznej stacji roboczej, uzyskało kontrolę administracyjną, omijając lokalne zabezpieczenia punktów końcowych. Ten rodzaj eskalacji jest powszechny, gdy użytkownicy mają nadmierne uprawnienia lub mogą zainstalować niezatwierdzone oprogramowanie.

Menedżer uprawnień punktów końcowych Keeper (EPM) z założenia wymusza dostęp z najmniejszymi uprawnieniami. Użytkownicy działają jako standardowi użytkownicy, a aplikacje wymagające podwyższonych uprawnień muszą być jednoznacznie zatwierdzone. Polityki mogą blokować nieufne instalatory, ograniczać nadużycia PowerShell i skryptów oraz egzekwować procesy zatwierdzania dla uprzywilejowanych działań. W połączeniu z rejestrowaniem audytu i alertami zespoły bezpieczeństwa uzyskują wgląd w każdą próbę podniesienia uprawnień. Fałszywe narzędzie informatyczne, które spowodowało naruszenie stanu Nevada, nie zostałoby zainstalowane bez zatwierdzenia w pierwszej kolejności.

2. Eliminowanie stałych uprawnień

KeePerpam eliminuje ryzyko stałych uprawnień administracyjnych. Dzięki dostępowi Just-in-Time (JIT) KeeperPAM zapewnia, że poświadczenia administracyjne są dostępne tylko wtedy, gdy są potrzebne i tylko tak długo, jak to konieczne. Użytkownicy domyślnie korzystają ze standardowych uprawnień, a gdy wymagają podwyższonych uprawnień, uprawnienia te są przyznawane tymczasowo i automatycznie wygasają po zakończeniu wymaganego zadania.

KeeperPAM zapewnia również automatyczną rotację poświadczeń, która stale zmienia hasła administratora i kont usług. Nawet jeśli cyberprzestępcy uda się uzyskać dane uwierzytelniające, stają się one bezużyteczne w ciągu kilku minut. W przypadku stanu Nevada złośliwy kod nie byłby w stanie zebrać ani ponownie wykorzystać buforowanych poświadczeń administratora w celu przesuwania się bocznie po serwerach.

3. Zapobieganie ruchom bocznym

Gdy atakujący uzyskają dostęp, ich następnym krokiem niemal zawsze jest ruch boczny, przeskakiwanie z jednej maszyny na drugą za pośrednictwem protokołu RDP, aby dotrzeć do celów o wysokiej wartości, takich jak kontrolery domeny lub serwery baz danych. KeeperPAM znacząco ograniczyłby lub całkowicie uniemożliwił ruch boczny w ataku na stan Nevada, ponieważ cyberprzestępcy nie byliby w stanie wykorzystać protokołu RDP do poruszania się między systemami.

Keeper Connection Manager, główny składnik KeeperPAM, wymusza dostęp do serwerów i baz danych w oparciu o zasadę zero-trust. Zamiast ujawniać porty RDP lub SSH w sieci, KCM pośredniczy każdą sesję za pośrednictwem bezpiecznej bramki. Poświadczenia są wstrzykiwane bezpośrednio z zaszyfrowanego sejfu. Użytkownicy nigdy nie widzą ani nie obsługują danych uwierzytelniających, a wszystkie sesje są rejestrowane i poddawane audytowi. Gdyby napastnicy, którzy zaatakowali stan Nevada, próbowali użyć skradzionych danych uwierzytelniających do bocznego ruchu RDP lub SSH, ich połączenia zakończyłyby się niepowodzeniem.

4. Ochrona danych uwierzytelniających

Prawie połowa wszystkich naruszeń wiąże się z naruszeniem danych uwierzytelniających. Po wejściu do sieci atakujący często zbierają buforowane hasła, tokeny lub dane uwierzytelniające lokalnego administratora, aby przenosić się po sieci. KeeperPAM ma architekturę zero-trust i zero-knowledge, co oznacza, że całe szyfrowanie i odszyfrowywanie odbywa się lokalnie na urządzeniu użytkownika. Zamiast po prostu przechowywać dane uwierzytelniające, Keeper izoluje, szyfruje, obraca i wstrzykuje je w sposób, który praktycznie uniemożliwia kradzież poświadczeń.

• Tajne dane są szyfrowane lokalnie i są nieczytelne dla nikogo poza użytkownikiem
• Dane uwierzytelniające nigdy nie są widoczne, przechowywane ani ponownie wykorzystywane na punktach końcowych
• Uprawnienia administratora są tymczasowe i ściśle kontrolowane
• Hasła i klucze rotują automatycznie
• Pełne dzienniki audytu zapewniają odpowiedzialność i identyfikowalność

Nawet gdyby napastnicy, którzy zaatakowali stan Nevada, dotarli do serwera zarządzania hasłami, nie byliby w stanie odszyfrować ani wyeksportować żadnych danych uwierzytelniających w postaci zwykłego tekstu.

5. Monitorowanie w czasie rzeczywistym i szybkie zabezpieczanie

KeePerpam zapewnia pełną widoczność i kontrolę nad uprzywilejowaną aktywnością.

• Każda uprzywilejowana sesja jest nagrywana i rejestrowana na potrzeby audytu i kryminalistyki.
• Monitorowanie sesji na żywo umożliwia administratorom obserwowanie lub zakończenie podejrzanych połączeń w czasie rzeczywistym
• KeeperAI może automatycznie analizować aktywność użytkowników, określając ryzyko i kończąc sesje w przypadku wykrycia podejrzanej aktywności
• Natychmiastowa rotacja i cofnięcie danych uwierzytelniających może zablokować naruszone konta jednym działaniem
• Integracja z platformami Security Information and Event Management (SIEM) oraz Security Orchestration, Automation and Response (SOAR) umożliwia automatyczne alerty i procesy reagowania

Gdyby te mechanizmy kontrolne zostały wdrożone, zespół bezpieczeństwa stanu Nevada mógłby szybko zidentyfikować nieautoryzowaną sesję, dokonać rotacji danych uwierzytelniających i powstrzymać włamanie, zanim doszłoby do eksfiltracji danych, a nawet całkowicie zapobiec pobraniu złośliwego oprogramowania za pomocą RBI i EPM.

FedRAMP i GovRamp Autoryzowane dla sektora publicznego

Keeper Security Government Cloud (KSGC) to wersja KeeperPAM hostowana w Amazon Web Services (AWS) GovCloud, która spełnia wymagania dotyczące bezpieczeństwa i zgodności FedRAMP. AWS GovCloud jest zaprojektowany do hostowania wrażliwych danych i regulowanych obciążeń, wspierając surowe standardy zgodności rządu USA.

Dzięki KSGC agencje rządowe otrzymują skalowalne rozwiązanie PAM typu zero trust, które stale weryfikuje każdą próbę dostępu, niezależnie od lokalizacji czy urządzenia. Kontrola dostępu oparta na rolach (RBAC) i monitorowanie w czasie rzeczywistym wymuszają stosowanie modelu najmniejszych uprawnień i zapewniają pełną widoczność wszystkich działań uprzywilejowanych.

Czy chcą Państwo dowiedzieć się więcej o tym, jak Keeper może pomóc Państwa organizacji w ochronie przed oprogramowaniem ransomware i spełnieniu wymogów zero-trust? Warto poprosić już dziś o wersję demonstracją KSGC.