1 клик на рекламу WinSCP = 4000 часов сверхурочных, месяц без связи и доказательство, что Google продаёт место хакерам

Власти американского штата Невада обнародовали технический отчёт с полным разбором масштабной атаки, в ходе которой государственные системы были зашифрованы вымогательским ПО. Документ подробно описывает действия злоумышленников, этапы проникновения и принятые меры по восстановлению работы.

Публикация стала редким примером прозрачного подхода к инциденту, затронувшему более шестидесяти ведомств и приостановившему работу цифровых и телефонных сервисов. Восстановление заняло почти месяц, и, несмотря на серьёзные последствия, выкуп платить не стали — почти весь необходимый для запуска служб массив данных удалось вернуть усилиями собственных специалистов.

Первоначальное заражение произошло ещё 14 мая, когда сотрудник одного из ведомств скачал поддельную версию системной утилиты с вредоносного сайта, замаскированного под официальный. Ссылка была размещена в рекламном блоке поисковой выдачи, и вместо нужного ПО на устройство попала программа с удалённым доступом.

Этот метод становится всё более распространённым — под видом популярных легитимных утилит вроде WinSCP, Putty, KeePass или AnyDesk распространяется шпионское ПО, которое затем обеспечивает доступ в корпоративные сети с повышенными правами. В данном случае вредонос загружал соединение с сервером управления каждый раз при входе пользователя, что позволяло злоумышленникам сохранять присутствие в системе даже после удаления изначального файла антивирусом.

Уже летом атакующие установили на скомпрометированный хост коммерческое ПО для удалённого мониторинга, с помощью которого могли вести запись экрана и перехватывать ввод с клавиатуры. Позднее в инфраструктуру внедрили собственный инструмент для создания зашифрованного туннеля — он позволил обойти защитные механизмы и перейти к активному распространению по внутренним системам. В частности, через RDP были получены учётные данные от двадцати шести аккаунтов, в том числе с доступом к хранилищу паролей. Для сокрытия следов действий были удалены журналы событий.

Команда реагирования компании Mandiant подтвердила факт доступа к более чем двадцати шести тысячам файлов, включая чувствительную информацию, но признаков утечки или публикации обнаружено не было. Однако 24 августа злоумышленники удалили резервные копии, а затем изменили настройки гипервизора, открыв возможность запуска неподписанных компонентов. В 08:30 по UTC началось развёртывание вымогательского ПО, охватившее все серверы с виртуальными машинами. Уже спустя двадцать минут сотрудники Управления информационных технологий зафиксировали отключения и приступили к восстановлению.

Принципиальная позиция штата заключалась в отказе от любых выплат злоумышленникам. Вместо этого были мобилизованы собственные ресурсы — 50 сотрудников провели свыше четырёх тысяч часов сверхурочной работы, что обошлось бюджету в 259 тысяч долларов, но позволило оперативно запустить критически важные функции, включая расчёт зарплат и системы связи для экстренных служб. Внешние подрядчики были привлечены для поддержки: в числе участвовавших — Microsoft, Mandiant, Aeris, юридическая фирма BakerHostetler и другие. Общая сумма контрактов составила около 1,3 миллиона долларов.

Хотя имя преступной группировки не раскрыто и ни одна из крупных вымогательских групп не взяла на себя ответственность, инцидент стал значимым примером оперативного реагирования. В отчёте подчёркивается, что одной из приоритетных задач после атаки стало укрепление защиты наиболее чувствительных систем. Были удалены устаревшие аккаунты, сброшены пароли, пересмотрены сертификаты и права доступа. При этом власти признают необходимость дальнейших инвестиций в кибербезопасность, особенно в части мониторинга и быстрой реакции, поскольку методы атакующих продолжают развиваться.