Ransomware-aanval op Amerikaanse staat begon met besmette download

In dit artikel:

Op 24 augustus werd de IT-infrastructuur van de Amerikaanse staat Nevada getroffen door een ransomware-aanval die lokale systemen vier weken lamlegde. Volgens een officieel rapport begon de keten van gebeurtenissen al op 14 mei, toen een ambtenaar een besmette systeembeheertool van een malafide website downloadde die via Google-advertenties als legitiem werd voorgespiegeld. De malware installeerde een backdoor; aanvallers plaatsten begin augustus bewaakte remote monitoring-software om toetsaanslagen vast te leggen, verkregen toegang tot de password‑vault en wisten logbestanden te wissen. Op 24 augustus werden eerst back-ups verwijderd en daarna ransomware uitgerold over meerdere vm‑servers, waardoor essentiële diensten uitvielen.

De staat betaalde geen losgeld; met hulp van een extern bedrijf kon het merendeel van de data worden teruggezet en na 28 dagen waren alle diensten hersteld. De herstelkosten bedragen minimaal 1,5 miljoen dollar. Als gevolg van het incident schakelt Nevada van gedecentraliseerde beveiliging naar een centrale aanpak met een Security Operations Center en Endpoint Detection & Response.