Een ransomware-aanval op de Amerikaanse staat Nevada waardoor systemen 28 dagen plat lagen begon met een ambtenaar die een besmette systeembeheertool van een malafide website downloadde, zo blijkt uit een overheidsrapport naar het incident (pdf). De staat betaalde de aanvallers geen losgeld. De herstelkosten bedragen minstens 1,5 miljoen dollar.

De ransomware-aanval deed zich voor op 24 augustus. De aanvallers hadden een aantal maanden eerder al toegang gekregen. Een ambtenaar downloadde op 14 mei een niet nader genoemde "system administration tool" van een besmette website. Deze website werd via advertenties in de Google-zoekmachine weergegeven en deed zich voor als de legitieme website van de betreffende tool, aldus het rapport.

Via de malware werd een backdoor geïnstalleerd. Begin augustus installeerde de aanvaller vervolgens commerciële remote monitoring software, om zo toetsaanslagen op te slaan. Hierna wist de aanvaller zich verder in het netwerk van de staat te bewegen. De aanvaller wist ook toegang te krijgen tot de "passwordvault server" en verwijderde logbestanden om niet te worden opgemerkt, zo laat het rapport verder weten. Op 24 augustus logde de aanvaller eerst in op de back-upserver en verwijderde aanwezige back-ups. Vervolgens werd op verschillende vm-servers de ransomware uitgerold, waardoor vitale diensten offline gingen.

Via een extern bedrijf wist de Amerikaanse staat uiteindelijk het grootste deel van de data toch te herstellen, waarna diensten weer online konden komen. Na 28 dagen waren alle getroffen diensten weer operationeel. Naar aanleiding van het incident heeft de staat besloten om te stoppen met gedecentraliseerde beveiligingsdiensten en wordt er gekeken naar een combinatie van een Security Operations Center met een Endpoint Detection en Response (EDR) systeem.