州は身代金の支払いを拒否し、影響を受けたデータの90%を回復しました。
ネバダ州に対する8月のランサムウェア攻撃は、州職員が偽装サイトからマルウェアが仕込まれたツールを誤ってダウンロードした5月の侵入にまで遡ることが、州が水曜日に公開したフォレンジックレポートによって明らかになりました。
州当局は身代金の要求に応じることを拒否し、28日間の復旧期間を経て影響を受けたデータの90%を回復しました。州は保険に加入しており、事前にベンダーとの契約も結んでいたため、身代金を支払わない決断に至りました。
「攻撃者は州のシステムをオフラインにすることを目的とした攻撃を仕掛け、暗号化されたシステムやデータを復旧する方法を記載したメモを残して州を脅迫しようとしました」と、知事技術局の最高情報責任者兼執行役員であるティモシー・ガルッツィ氏はレポートで述べています。
この攻撃はネバダ州政府の60以上の機関に影響を与え、保健福祉省、自動車局、公安省などの重要なサービスも含まれていました。
レポートで特定されなかった攻撃者は、2万6400件以上のファイルにアクセスしました。さらに3200件のファイルが複数のシステムで露出したままでした。州は復旧費用として約130万ドルを費やし、Mandiant、Dell、Microsoft DART、Palo Alto Networks、Aerisなどの大手企業に調査やサービス復旧を依頼しました。
この攻撃は、州や地方自治体がレジリエンスを維持し、緊急対応や公共安全、医療などの重要なサービスを継続提供することの難しさが増していることを浮き彫りにしています。
州職員は5月14日にツールをダウンロードし、それによって州のコンピューターシステムに隠されたバックドアが仕込まれ、6月26日にSymantec Endpoint Protectionによって隔離されるまで活動を続けていました。
ハッカーは複数の標準および特権アカウントにリモート監視ソフトをインストールし、リモートデスクトッププロトコルを使って重要なシステム間を移動し、機密ディレクトリにアクセスしました。26のアカウントの認証情報が盗まれ、イベントログは不正な移動の証拠を隠すために消去されました。
8月24日の攻撃では、攻撃者がバックアップボリュームを削除し、ランサムウェアを展開して仮想マシンを暗号化しました。
州の広報担当者によると、調査ではファイルが実際に流出したり、リークサイトに情報が掲載された「決定的な証拠」は見つかりませんでした。しかし、元州職員のデータを含むファイルが盗まれたことは確認されており、当該人物には通知される予定です。
