Атака вымогателей в Неваде. Почему контроль доступа важнее, чем кажется

Офис информационных технологий при губернаторе штата Невада (GTO) опубликовал отчет о масштабной кибератаке, которая в августе 2025 г. почти на месяц парализовала работу государственных систем. В документе подробно описана не только хроника событий, но и то, как GTO, ИТ-поставщики и правоохранительные органы всех уровней сообща устраняли последствия. Этот инцидент еще раз подтверждает, что системы управления привилегированным доступом (PAM) жизненно необходимы для защиты наиболее важных ресурсов и конфиденциальных данных.

Как проходила атака программ-вымогателей в Неваде?

Власти Невады обнаружили взлом 24 августа 2025 года. Из-за внезапного отключения виртуальных машин в 60 государственных ведомствах перестали работать сайты, телефонная связь и онлайн-сервисы. В некоторых структурах, например в Управлении здравоохранения, системы полностью вышли из строя. Это вынудило сотрудников искать обходные пути для работы и вести все записи вручную. Атака также затронула Департамент автомобильного транспорта (DMV), Департамент общественной безопасности и дорожный патруль штата. Работа основного портала NV.gov и офиса губернатора была парализована или шла со сбоями.

Как выяснилось позже, все началось еще в мае 2025 года. Один из сотрудников искал в сети инструмент для системного администрирования и случайно нажал на вредоносную рекламу. С поддельного сайта на компьютер попал вирус, который открыл хакерам доступ к инфраструктуре штата. Хотя 26 июня система защиты Symantec обнаружила и изолировала угрозу, было уже поздно. К тому времени взломщики успели получить расширенные права и начали свободно перемещаться по внутренней сети.

В отчете говорится:

В период с 16 по 24 августа хакеры использовали протокол удаленного рабочего стола (RDP) для перемещения между критически важными серверами. Они получили доступ ко множеству директорий и файлов, включая сервер с хранилищем паролей, откуда смогли достать данные 26 учетных записей. Чтобы замести следы, взломщики регулярно очищали журналы событий.

24 августа 2025 года злоумышленник удалил резервные копии конфиденциальной информации и развернул программы-вымогатели по всей виртуальной инфраструктуре штата. Власти Невады отказались платить выкуп и смогли восстановить 90% данных, необходимых для возобновления работы сервисов. Однако, помимо затрат на сверхурочные для своих сотрудников, штату пришлось заплатить более 1 миллиона долларов внешним консультантам. Точный объем украденных данных устанавливается. Директор по информационным технологиям штата Невада Тимоти Галлузи сообщил прессе, что часть информации была незаконно выведена из систем штата, однако пока неясно, какие именно данные были украдены.

После того как системы были восстановлены, ИТ-служба штата внедрила ряд изменений для улучшения киберзащиты. Первым делом обезопасили критически важные сегменты и открыли доступ только тем сотрудникам, которым он необходим для работы. Также команда пересмотрела правила и права доступа, чтобы исключить риск несанкционированного входа. Это критически важный аспект PAM.

Как KeeperPAM помог бы минимизировать ущерб

Хакеры атаковали ИТ-отдел, рассчитывая заполучить учетные записи с расширенными правами. Хотя решение PAM не удержит сотрудника от клика по фишинговой ссылке, оно может заблокировать установку вредоносного ПО и ограничить масштаб атаки. Даже если взломщик попадет внутрь, система пресечет его перемещения по сети и закроет доступ к серверам и хранилищам. Как помог бы KeeperPAM:

1. Защита от повышения привилегий

После установки на корпоративный компьютер вредоносное ПО получило права администратора, обойдя локальные механизмы защиты. Обычно такое повышение привилегий происходит, когда у пользователей слишком широкие права или нет ограничений на установку программ.

Keeper Endpoint Privilege Manager (EPM) ограничивает права пользователей до необходимого минимума по умолчанию. Сотрудники работают под стандартными учетными записями, а для запуска программ с расширенным доступом требуется явное одобрение. Настроенные политики безопасности позволяют блокировать подозрительные установщики, пресекать опасное использование PowerShell или скриптов и внедрять обязательные цепочки согласования для важных действий. Благодаря журналам аудита и оповещениям ИТ-службы контролируют каждый запрос на повышение прав. Вредоносную программу, из-за которой произошел взлом в Неваде, просто не удалось бы установить без предварительного разрешения.

2. Устранение постоянных привилегий

KeeperPAM устраняет риск постоянных административных привилегий. Благодаря доступу по принципу «точно в срок» (JIT) учетные данные выдаются по запросу и только на то время, которое необходимо для работы. По умолчанию пользователи работают со стандартными правами. Если же нужны расширенные полномочия, доступ предоставляется временно и автоматически отзывается, как только задача выполнена.

KeeperPAM также обеспечивает автоматическую ротацию учетных данных для административных и сервисных аккаунтов. Даже если киберпреступнику удастся получить учетные данные, они станут бесполезными в течение нескольких минут. При взломе в Неваде вредоносный код просто не смог бы собрать пароли администраторов и использовать их, чтобы добраться до других серверов.

3. Предотвращение горизонтальных перемещений

Как только злоумышленники проникают в систему, они почти всегда пытаются перемещаться горизонтально. Обычно они переходят от одной машины к другой через RDP, чтобы добраться до наиболее важных целей — контроллеров доменов или серверов баз данных. Использование KeeperPAM позволило бы значительно ограничить или полностью заблокировать такие перемещения при атаке в Неваде. В этом случае киберпреступники не смогли бы использовать RDP для перехода между системами.

Ключевой компонент KeeperPAM, Keeper Connection Manager (KCM), обеспечивает доступ к серверам и базам данных на основе принципа нулевого доверия. Вместо того чтобы открывать порты RDP или SSH в сети, KCM проводит каждый сеанс через защищенный шлюз. Учетные данные подставляются напрямую из зашифрованного хранилища. В результате пользователи не видят пароли и не управляют ими, а все сеансы можно проверять и записывать. Если бы взломщики в Неваде попытались применить украденные данные для прохода по сети через RDP или SSH, система просто не позволила бы им установить соединение.

4. Защита учетных данных

Почти половина всех взломов происходит из-за компрометации учетных данных. Оказавшись внутри сети, злоумышленники обычно ищут кэшированные пароли, токены или данные локального администратора, чтобы перемещаться дальше. KeeperPAM построен на архитектуре нулевого доверия и нулевого разглашения. Это означает, что шифрование и расшифровка всегда происходят локально на устройстве пользователя. Keeper не просто хранит данные, а изолирует, шифрует, регулярно обновляет и автоматически подставляет их. Это делает кражу данных практически невозможной.

• Секреты зашифрованы локально и доступны только владельцу.
• Учетные данные не отображаются и не сохраняются на конечных точках.
• Права администратора выдаются временно и строго контролируются.
• Пароли и ключи меняются автоматически.
• Подробные журналы аудита позволяют отследить любое действие.

Даже если бы в ситуации с атакой в Неваде злоумышленники добрались до сервера управления паролями, они не смогли бы расшифровать или выгрузить данные в открытом виде.

5. Мониторинг в реальном времени и быстрое сдерживание

KeeperPAM обеспечивает полную видимость и контроль над всеми действиями привилегированных пользователей.

• Привилегированные сеансы записываются и регистрируются для последующего аудита и анализа.
• Мониторинг в реальном времени позволяет администраторам наблюдать за активными соединениями и немедленно прерывать подозрительные сеансы.
• KeeperAI автоматически анализирует поведение пользователей, выявляет риски и самостоятельно завершает сеанс при обнаружении угрозы.
• Система позволяет одним действием сменить пароли или заблокировать скомпрометированные учетные записи.
• Интеграция с SIEM- и SOAR-платформами помогает автоматизировать оповещения и запустить оперативные сценарии реагирования.

Если бы такие меры приняли в Неваде, команда безопасности смогла бы быстро заметить несанкционированный доступ, аннулировать учетные данные и остановить вторжение еще до начала вывода данных. Более того, инструменты RBI и EPM могли бы полностью предотвратить загрузку вредоносного ПО.

Авторизовано FedRAMP и GovRAMP для государственного сектора

Keeper Security Government Cloud (KSGC) — это версия KeeperPAM, размещенная в Amazon Web Services (AWS) GovCloud, которая соответствует требованиям безопасности и стандартам FedRAMP. Среда AWS GovCloud предназначена для размещения конфиденциальных данных, регулируемых рабочих нагрузок и соответствует строгим требованиям безопасности и государственным требованиям США.

С KSGC государственные учреждения получают масштабируемое решение PAM с нулевым доверием, которое непрерывно проверяет каждую попытку доступа, независимо от местоположения или устройства. Контроль доступа на основе ролей (RBAC) и мониторинг в режиме реального времени обеспечивают соблюдение принципа наименьших привилегий и предоставляют полную видимость всех привилегированных действий.

Хотите узнать больше о том, как Keeper может помочь вашей организации защититься от вымогателей и выполнить требования нулевого доверия? Запросите демонстрацию KSGC уже сегодня.