Alerta de ransomware em Nevada: o caso a favor do gerenciamento de acesso privilegiado

O Gabinete de Tecnologia do Governador (GTO) do Estado de Nevada divulgou recentemente um “Relatório pós-incidente” sobre o ataque de ransomware em todo o estado que interrompeu sistemas governamentais por quase um mês, em agosto de 2025. O relatório detalha não apenas o que aconteceu, mas também a resposta coordenada ao incidente conduzida pelo GTO, por fornecedores e por parceiros de aplicação da lei de agências locais, estaduais e federais. Esse ataque cibernético em escala estadual destaca a necessidade crítica do gerenciamento de acesso privilegiado (PAM) para administrar e proteger o acesso a sistemas e dados altamente sensíveis.

O que aconteceu durante o ataque de ransomware em Nevada?

O Estado de Nevada identificou a violação pela primeira vez em 24 de agosto de 2025, quando várias máquinas virtuais ficaram fora do ar, interrompendo sites governamentais, sistemas telefônicos e plataformas online em 60 órgãos do governo estadual. Agências como a Autoridade de Saúde de Nevada tiveram sistemas desligados, o que exigiu que funcionários recorressem a soluções alternativas e voltassem a processos em papel. Outras agências afetadas incluíram o Departamento de Veículos Motorizados de Nevada, o Departamento de Segurança Pública de Nevada e a Patrulha Rodoviária de Nevada. O portal principal do estado, NV.gov, e o Gabinete do Governador também tiveram sistemas desligados ou com desempenho degradado.

A violação foi posteriormente rastreada até um ataque de engenharia social ocorrido em maio de 2025, quando um funcionário estadual pesquisou uma ferramenta de administração de sistemas e, sem perceber, clicou em um anúncio malicioso. Com isso, o funcionário baixou malware de um site falsificado, e o malware instalou uma backdoor que se conectou à infraestrutura do invasor, viabilizando acesso remoto não autorizado. Embora o Symantec Endpoint Protection (SEP) tenha detectado e colocado o malware em quarentena em 26 de junho de 2025, já era tarde demais, e o invasor havia escalado privilégios para se mover lateralmente pela rede do estado.

O relatório afirma:

Entre 16 e 24 de agosto, o invasor usou RDP para se deslocar entre servidores críticos, acessar vários diretórios, arquivos e servidores, incluindo o servidor do cofre de senhas, para obter senhas de 26 contas. O invasor limpou de forma consistente os registros de eventos para ocultar sua atividade.

Em 24 de agosto de 2025, o invasor excluiu backups de informações sensíveis e implantou ransomware em toda a infraestrutura virtual do estado. O Estado de Nevada, por fim, não pagou o resgate e conseguiu recuperar 90% dos dados afetados necessários para restaurar os serviços impactados. No entanto, além dos custos com horas extras de funcionários estaduais que trabalharam na restauração dos serviços, o estado também pagou mais de US$ 1 milhão em suporte de fornecedores externos. O escopo completo dos dados roubados ainda está sob investigação. O Diretor de Informação de Nevada, Timothy Galluzi, afirmou em uma coletiva de imprensa que parte dos dados do estado foi exfiltrada dos sistemas estaduais sem autorização; no entanto, ainda não está claro que tipo de dado foi roubado.

Após a recuperação dos sistemas, o GTO implementou várias mudanças para fortalecer as defesas de segurança cibernética do estado. Os sistemas mais sensíveis foram protegidos primeiro, garantindo que o acesso fosse limitado apenas ao pessoal essencial. A equipe também revisou regras e permissões dos sistemas para evitar acessos não autorizados no futuro, um aspecto fundamental do PAM.

Como o KeeperPAM poderia ter ajudado a limitar o ataque

Os criminosos cibernéticos buscaram acesso elevado à rede do estado ao direcionar especificamente funcionários de TI, cientes de que eles provavelmente teriam privilégios elevados. Embora uma solução de PAM não tivesse impedido o usuário de clicar em um link para um site falsificado, ela poderia ter bloqueado a instalação da ferramenta maliciosa e limitado o alcance do ataque ao impedir o movimento lateral do invasor e o acesso a cofres e servidores após a entrada inicial. Veja algumas formas pelas quais o KeeperPAM teria ajudado:

1. Conter a escalada de privilégios em endpoints

Quando o malware foi instalado em uma estação de trabalho interna, ele obteve controle administrativo ao contornar as proteções locais do endpoint. Esse tipo de escalada é comum quando usuários têm privilégios excessivos ou conseguem instalar softwares não aprovados.

O Keeper Endpoint Privilege Manager (EPM) aplica o acesso de menor privilégio por concepção. Os usuários operam como usuários padrão, e aplicativos que exigem direitos elevados precisam ser explicitamente aprovados. As políticas podem bloquear instaladores não confiáveis, restringir abusos de PowerShell e scripts e aplicar fluxos de aprovação para ações privilegiadas. Combinado com registros de auditoria e alertas, as equipes de segurança passam a ter visibilidade sobre todas as tentativas de solicitação de elevação de privilégios. A falsa ferramenta de TI que desencadeou a violação em Nevada não teria sido instalada sem aprovação.

2. Eliminar privilégios permanentes

O KeeperPAM elimina o risco de privilégios administrativos permanentes. Por meio do acesso Just-in-Time (JIT), o KeeperPAM garante que credenciais administrativas estejam disponíveis apenas quando necessário e somente pelo tempo estritamente necessário. Os usuários operam com direitos padrão por padrão e, quando precisam de permissões elevadas, esses privilégios são concedidos temporariamente e expiram automaticamente após a conclusão da tarefa necessária.

O KeeperPAM também oferece rotação automática de credenciais, alterando continuamente as senhas de contas administrativas e de serviço. Mesmo que um criminoso cibernético consiga obter credenciais, elas se tornam inúteis em poucos minutos. No caso de Nevada, o código malicioso não teria conseguido coletar nem reutilizar credenciais de administrador armazenadas em cache para se mover lateralmente entre servidores.

3. Impedir o movimento lateral

Depois que os invasores obtêm acesso inicial, o próximo passo quase sempre é o movimento lateral, saltando de uma máquina para outra via RDP para alcançar alvos de alto valor, como controladores de domínio ou servidores de banco de dados. O KeeperPAM teria limitado de forma significativa ou até impedido completamente o movimento lateral no ataque a Nevada, já que os criminosos cibernéticos não teriam conseguido usar RDP para se deslocar entre os sistemas.

O Keeper Connection Manager, um componente central do KeeperPAM, aplica acesso de confiança zero a servidores e bancos de dados. Em vez de expor portas RDP ou SSH na rede, o KCM intermedia todas as sessões por meio de um gateway seguro. As credenciais são injetadas diretamente a partir do cofre criptografado. Os usuários nunca veem nem manipulam as credenciais, e todas as sessões são auditáveis e gravadas. Se os invasores em Nevada tivessem tentado usar credenciais roubadas para movimento lateral via RDP ou SSH, as conexões teriam falhado.

4. Proteger credenciais

Quase metade de todas as violações envolve credenciais comprometidas. Depois de entrar em uma rede, invasores costumam coletar senhas em cache, tokens ou credenciais de administrador local para se mover pela rede. O KeeperPAM adota uma arquitetura de confiança zero e conhecimento zero, o que significa que toda a criptografia e descriptografia ocorre localmente no dispositivo do usuário. Em vez de apenas armazenar credenciais, o Keeper isola, criptografa, faz a rotação e injeta essas credenciais de uma forma que torna o roubo praticamente impossível.

• Segredos são criptografados localmente e ilegíveis para qualquer pessoa que não seja o usuário
• Credenciais nunca ficam visíveis, armazenadas ou reutilizadas em endpoints
• Direitos administrativos são temporários e rigidamente controlados
• Senhas e chaves passam por rotação automática
• Registros completos de auditoria garantem responsabilidade e rastreabilidade

Mesmo que os invasores em Nevada tivessem alcançado um servidor de gerenciamento de senhas, eles não teriam conseguido descriptografar nem exportar credenciais em texto simples.

5. Monitoramento em tempo real e contenção rápida

O KeeperPAM oferece visibilidade e controle completos sobre atividades privilegiadas.

• Cada sessão privilegiada é gravada e registrada para auditoria e análises forenses
• O monitoramento de sessões ao vivo permite que administradores observem ou encerrem conexões suspeitas em tempo real
• O KeeperAI pode analisar automaticamente a atividade do usuário, determinar riscos e encerrar sessões quando comportamentos suspeitos são detectados
• A rotação e a revogação instantâneas de credenciais permitem bloquear contas comprometidas com uma única ação
• A integração com plataformas de Gerenciamento de Informações e Eventos de Segurança (SIEM) e Orquestração, Automação e Resposta de Segurança (SOAR) viabiliza alertas automatizados e fluxos de resposta

Se esses controles estivessem em vigor, a equipe de segurança de Nevada poderia ter identificado rapidamente a sessão não autorizada, feito a rotação das credenciais e contido a intrusão antes que a exfiltração de dados ocorresse, ou até mesmo evitado completamente o download do malware com RBI e EPM.

Autorizado pelo FedRAMP e GovRAMP para o setor público

O Keeper Security Government Cloud (KSGC) é a versão do KeeperPAM hospedada na Amazon Web Services (AWS) GovCloud, que atende aos requisitos de segurança e conformidade do FedRAMP. O AWS GovCloud foi projetado para armazenar dados sensíveis e executar cargas de trabalho reguladas, garantindo o cumprimento rigoroso dos padrões de conformidade do governo dos Estados Unidos.

Com o KSGC, as agências governamentais obtêm uma solução PAM escalonável e de confiança zero que verifica continuamente todas as tentativas de acesso, independentemente da localização ou do dispositivo. Controles de Acesso Baseados em Função (RBAC) e o monitoramento em tempo real impõem o princípio do menor privilégio e fornecem visibilidade total de todas as atividades privilegiadas.

Pronto para saber mais sobre como o Keeper pode ajudar sua organização a se proteger contra ransomware e atender aos requisitos de confiança zero? Solicite hoje mesmo uma demonstração do KSGC.