Por uma questão de transparência da administração, a secretaria (ou birô) de tecnologia do Estado americano de Nevada publicou um relatório de 30 páginas elaborado pela empresa Info Tech Research Group, detalhando o que aconteceu durante e após um ataque de ransomware detectado em 24 de agosto, que afetou 60 agências estaduais, algumas por 28 dias. O Info Tech Research Group foi contratado para analisar minuciosamente o incidente. O relatório explica o que deu errado e mostra o rastreamento do paciente zero, um funcionário do governo estadual que, meses antes, baixou um malware de um site falso, pensando que estava baixando e instalando uma ferramenta administrativa. O relatório também descreve o que funcionou bem, incluindo reuniões internas, financiamento prévio de seguro cibernético e experiência adquirida com simulações anuais de resposta a incidentes.
Leia também
Qilin expande ransomware com infraestrutura cega
Harvard investiga vazamento por ransomware Cl0p
Intitulado “Relatório Pós-Ação – Incidente Cibernético Estadual de 2025”, o documento, com dados de 28 de outubro de 2025, detalha que o incidente começou em 24 de agosto de 2025, às 01h50 (horário do Pacífico ou 6h50 horário de Brasília), quando o Escritório de Tecnologia do Governador (GTO) do Estado de Nevada descobriu uma interrupção no sistema, que tentou na desconexão de vários tipos. virtuais (VMs). Demonstrando sua prontidão, a equipe do GTO segue seu Plano de Resposta aos Incidentes previstos.
O plano incluía a escalada imediata do incidente para o CIO, que então coordenou com o Gabinete do Governador, agências críticas do Estado de Nevada e a liderança principal para garantir uma resposta unificada e estratégica. Inicialmente bloqueado em sistemas, a equipe do GTO conseguiu recuperar o acesso usando credenciais de backup e descobriu arquivos criptografados juntamente com uma nota de resgate. Eles isolaram as VMs afetadas para impedir a propagação do ransomware. A assessoria jurídica da BakerHostetler LLP foi acionada e facilmente contratou a Mandiant, uma empresa líder em cibersegurança sob a gestão do Google Cloud, para conduzir uma investigação forense. Essa abordagem proativa permitiu que o escopo e a natureza do ataque fossem compreendidos rapidamente, possibilitando que o estado tomasse medidas seguras.
Uma investigação revelou que o agente malicioso havia se infiltrado no sistema já em 14 de maio de 2025, quando um funcionário público, sem saber, baixou, de um site falsificado, uma ferramenta de administração de sistemas infectados com malware. Essa ferramenta instalou um backdoor, que foi ativado mesmo após o Symantec Endpoint Protection ter sido colocado em quarentena em 26 de junho. O invasor escalou seu acesso, instalando um software comercial de monitoramento remoto em vários sistemas, comprometendo contas de usuários padrão e privilegiadas.
Em meados de agosto, o invasor já havia previsto pacotes criptografados e usados o Protocolo de Área de Trabalho Remota (RDP) para se movimentar lateralmente entre sistemas críticos, acessando diretórios sensíveis e até mesmo o servidor de cofre de senhas. Em 24 de agosto, um invasor excluiu volumes de backup e implantou um ransomware, criptografando máquinas virtuais e interrompendo serviços críticos.
Segundo o relatório, graças à resposta rápida do GTO e à colaboração com especialistas em segurança cibernética, as medidas de contenção da ameaça foram rompidas rapidamente. Os protocolos de recuperação foram iniciados imediatamente, minimizando o impacto e garantindo a continuidade das operações essenciais do governo. O incidente, diz o documento, reforça a importância de um plano de resposta a incidentes bem ensaiados e de parcerias de confiança com profissionais das áreas jurídicas e de cibersegurança. O incidente também destacou a importância de medidas robustas de cibersegurança e o valor da preparação, bem como o papel crucial do treinamento e da conscientização da equipe na mitigação de riscos cibernéticos.
