Negara Bagian Nevada telah menerbitkan laporan setelah tindakan yang merinci bagaimana peretas melanggar sistemnya untuk menyebarkan ransomware pada bulan Agustus, dan tindakan yang diambil untuk pulih dari serangan tersebut.
Dokumen tersebut adalah salah satu dari sedikit laporan teknis yang sepenuhnya transparan dari negara bagian AS mengenai insiden keamanan siber, yang menjelaskan semua langkah penyerang dan memberikan contoh tentang bagaimana insiden keamanan siber harus ditangani.
Insiden ini berdampak pada lebih dari 60 lembaga pemerintah negara bagian dan mengganggu layanan pentingdari situs web dan sistem telepon hingga platform online. 28 hari kemudian, tanpa membayar uang tebusan, negara bagian memulihkan 90% data yang terkena dampak yang diperlukan untuk memulihkan layanan yang terkena dampak.
Dalam laporan hari ini, Negara Bagian Nevada merinci secara transparan bagaimana penyusupan awal terjadi, aktivitas pelaku ancaman di jaringannya, dan langkah-langkah yang diambil setelah mendeteksi aktivitas berbahaya.
Serangan Ransomware sedang berlangsung
Meskipun pelanggaran tersebut ditemukan pada tanggal 24 Agustus, peretas telah memperoleh akses awal pada tanggal 14 Mei, ketika seorang pegawai negeri menggunakan versi trojan dari alat administrasi sistem.
Menurut laporanseorang pegawai negeri menelusuri Google untuk mengunduh alat administrasi sistem dan malah diperlihatkan iklan berbahaya yang mengarah ke situs web palsu yang meniru proyek yang sah.
Situs web palsu ini menawarkan versi utilitas admin yang dilengkapi malware, yang menerapkan pintu belakang pada perangkat karyawan.
Pelaku ancaman semakin mulai melakukan hal tersebut gunakan iklan pencarian untuk mendorong malware menyamar sebagai alat administrasi sistem yang populer, seperti WinSCP, Dempul, alat RV, KeePass, Masuk SayaDan Meja Apa Saja. Namun, malware yang diinstal bukan program yang diinginkan, memberikan pelaku ancaman akses awal ke jaringan perusahaan.
Karena alat ini dirancang untuk administrator sistem, pelaku ancaman berharap mendapatkan akses yang lebih baik di jaringan dengan menargetkan karyawan TI tersebut.
Setelah dijalankan, malware tersebut mengonfigurasi pintu belakang tersembunyi yang secara otomatis terhubung ke infrastruktur penyerang saat pengguna login, sehingga memberikan mereka akses jarak jauh yang persisten ke jaringan internal negara.
Pada tanggal 26 Juni, Symantec Endpoint Protection (SEP) mengidentifikasi dan mengkarantina alat berbahaya tersebut, lalu menghapusnya dari stasiun kerja yang terinfeksi, namun mekanisme persistensinya menolak, dan peretas masih dapat menjangkau lingkungan tersebut.
Pada tanggal 5 Agustus, penyerang memasang perangkat lunak pemantauan jarak jauh komersial pada sistem, yang memungkinkan mereka melakukan perekaman layar dan pencatatan penekanan tombol. Infeksi kedua dengan alat itu terjadi sepuluh hari kemudian.
Antara tanggal 14 dan 16 Agustus, penyerang menyebarkan alat terowongan jaringan terenkripsi khusus untuk melewati kontrol keamanan dan membuat sesi Remote Desktop Protocol (RDP) di beberapa sistem.
Jenis akses jarak jauh ini memungkinkan mereka berpindah secara lateral antar server penting, termasuk server brankas kata sandi, tempat mereka mengambil kredensial 26 akun, lalu menghapus log peristiwa untuk menyembunyikan tindakan mereka.
Tim respons insiden Mandiant mengonfirmasi bahwa penyerang mengakses 26.408 file di berbagai sistem dan menyiapkan enam bagian arsip .ZIP dengan informasi sensitif.
Investigasi tidak menemukan bukti bahwa penyerang mengeksfiltrasi atau mempublikasikan data.
Pada tanggal 24 Agustus, penyerang mengautentikasi ke server cadangan dan menghapus semua volume cadangan untuk menonaktifkan potensi pemulihan, lalu masuk ke server manajemen virtualisasi sebagai root untuk mengubah pengaturan keamanan guna memungkinkan eksekusi kode yang tidak ditandatangani.
Pada pukul 08:30:18 UTC, penyerang menyebarkan jenis ransomware di semua server yang menghosting mesin virtual (VM) negara bagian.
Kantor Teknologi Gubernur (GTO) mendeteksi pemadaman listrik kira-kira 20 menit kemudian (01:50), menandai dimulainya upaya pemulihan di seluruh negara bagian selama 28 hari.
Membayar lembur, bukan uang tebusan
Negara Bagian Nevada mempertahankan sikap tegas terhadap pembayaran uang tebusan dan mengandalkan staf TI mereka sendiri serta pembayaran lembur untuk memulihkan sistem dan layanan yang terkena dampak.
Analisis biaya menunjukkan bahwa 50 pegawai negara bekerja total 4.212 jam lembur, sehingga menimbulkan biaya upah sebesar $259.000 bagi negara.
Respons ini memungkinkan pemrosesan penggajian tepat waktu, menjaga komunikasi keselamatan publik tetap online, dan dengan cepat membangun kembali sistem yang berhubungan dengan warga, dan menghemat sekitar $478.000 bagi negara bagian jika dibandingkan dengan tarif standar kontraktor ($175/jam).
Biaya untuk dukungan vendor eksternal selama periode respons insiden berjumlah sedikit di atas $1,3 juta, dan dirinci dalam tabel di bawah.
| Penjual | Layanan Disediakan | Biaya Wajib |
|---|---|---|
| Microsoft DART | Dukungan Terpadu & Pembangunan Kembali Infrastruktur | $354.481 |
| Mandian | Forensik & Respons Insiden | $248.750 |
| Udara | Dukungan Pemulihan & Rekayasa | $240.000 |
| BakerHostetler | Penasihat Hukum & Privasi | $95.000 |
| SHI (Palo Alto) | Layanan Keamanan Jaringan | $69.400 |
| Dell | Pemulihan Data & Manajemen Proyek | $66.500 |
| Vendor IR lainnya | Berbagai Layanan Pendukung | ~$240.069 |
Perlu dicatat bahwa pelaku ransomware belum disebutkan namanya. BleepingComputer tidak melihat adanya geng besar yang mengklaim penyusupan di situs pemerasan.
Insiden ini menunjukkan ketahanan dunia maya Nevada, yang mencakup tindakan “pedoman” yang tegas dan cepat, dan juga menunjukkan tingkat transparansi yang patut dipuji.
Terlepas dari biaya dan upaya pemulihan, Negara Bagian Nevada juga telah meningkatkan pertahanan keamanan sibernya berdasarkan saran dari vendor tepercaya.
“GTO berfokus pada pengamanan sistem yang paling sensitif terlebih dahulu, dan memastikan bahwa akses dibatasi hanya pada personel penting saja,” tulis laporan tersebut.
Beberapa tindakan teknis dan strategis yang dilakukan antara lain menghapus akun lama atau yang tidak diperlukan, mengatur ulang kata sandi, dan menghapus sertifikat keamanan yang sudah ketinggalan zaman. Selain itu, aturan dan izin sistem ditinjau untuk memastikan bahwa hanya pengguna yang berwenang yang memiliki akses ke pengaturan sensitif.
Namun, negara mengakui bahwa masih banyak ruang untuk perbaikan dan menyadari pentingnya berinvestasi dalam keamanan siber, khususnya untuk meningkatkan kemampuan pemantauan dan respons, karena pelaku ancaman juga mengembangkan taktik, teknik, dan prosedur mereka.
Lembar Cheat Keamanan Rahasia: Dari Sprawl hingga Control
Baik Anda membersihkan kunci lama atau menyetel pagar pembatas untuk kode yang dihasilkan AI, panduan ini membantu tim Anda membangun dengan aman sejak awal.
Dapatkan lembar contekan dan hilangkan dugaan tentang manajemen rahasia.
