Barracuda full logo

Attacco ransomware in Nevada offre lezioni sulla resilienza informatica a livello statale

Argomenti:
11 dic 2025
|
Christine Barry

Pianificazione strategica e risposta agli incidenti hanno trasformato un attacco catastrofico in un modello di recupero.

Punti chiave

  • La preparazione paga: i precedenti investimenti del Nevada nella resilienza informatica hanno permesso una rapida mobilitazione e recupero, anche dopo che gli attaccanti hanno cancellato i volumi di backup.
  • Tattiche di attacco sofisticate: Gli attori delle minacce sono rimasti non rilevati per mesi e hanno avuto accesso a migliaia di file sensibili.
  • Risposta e recupero coordinati: playbook ben collaudati, relazioni con i fornitori e partnership federali hanno permesso al Nevada di ripristinare i servizi critici per l'azienda entro una settimana e di raggiungere il pieno recupero in 28 giorni.

Nell'agosto 2025, i sistemi del governo statale del Nevada sono improvvisamente andati offline. Quella che inizialmente sembrava essere un'interruzione di routine si è rivelata essere un attacco ransomware su vasta scala che ha colpito più di 60 agenzie statali, inclusi i sistemi del Dipartimento dei Veicoli a Motore (DMV), servizi sociali, forze dell'ordine, paghe statali e altro ancora. Alcuni sistemi sono rimasti offline per 28 giorni.

 

Il procuratore generale del Nevada annuncia la chiusura degli uffici statali

L'attacco e il suo impatto a livello statale sono dettagliati in un rapporto post-evento (AAR) pubblicato verso la fine di ottobre. L'AAR è stato redatto da Info-Tech Research Group, con contributi dal ramo esecutivo del Nevada e una dichiarazione di apertura da parte del Chief Information Officer (CIO) dello stato. Il rapporto fornisce una panoramica dell'attacco e approfondimenti sul piano di risposta agli incidenti (IR) dello stato. Gli investimenti precedenti del Nevada in resilienza e prontezza operativa giocano un ruolo centrale in questa storia. Puoi scaricare il PDF qui.

Prima dell'attacco

Il Nevada è entrato in questa crisi meglio preparato rispetto alla maggior parte degli stati, grazie a anni di pianificazione ed esercitazioni di incident response. Secondo il rapporto:

  • Il Nevada ha finanziato la pianificazione IR, l'assicurazione informatica e le misure di rafforzamento tecnico che hanno consentito un rapido recupero. I precedenti investimenti in strategie di backup, formazione del personale e preparazione al recupero hanno aiutato lo stato a mobilitarsi rapidamente, anche dopo che gli attaccanti hanno eliminato i volumi di backup.
  • Playbook ben sviluppati e provati, combinati con simulazioni multi-agenzia annuali, hanno garantito che tutte le agenzie statali comprendessero i loro ruoli durante una vera emergenza. Questi esercizi hanno anche stabilito una struttura di governance unificata per il processo decisionale e la comunicazione.
  • Un programma di assicurazione informatica e relazioni pre-negoziate con Mandiant e altri fornitori hanno facilitato il rapido coinvolgimento di specialisti tecnici e forensi nel giro di poche ore. I legami preesistenti con DHS e il FBI hanno garantito che l'assistenza federale fosse integrata senza problemi.

L'AAR attribuisce a questi preparativi la risposta controllata e disciplinata.

L'attacco

Il rapporto non nomina gli attori della minaccia o le varianti di malware—i rapporti pubblici raramente includono dettagli che potrebbero esporre le difese o aiutare altri attaccanti. Tali informazioni vengono condivise internamente e attraverso gruppi chiusi come Information Sharing and Analysis Centers (ISACs) per migliorare le difese. A partire dal 28 ottobre 2025, l'AAR del Nevada rimane il resoconto pubblico più completo di questo incidente informatico a livello statale.

Accesso Iniziale

Il 14 maggio 2025, un dipendente statale ha scaricato ed eseguito per errore uno strumento di amministrazione di sistema infetto da malware da un sito web falsificato. L'attaccante ha usato SEO poisoning e Google Ads per far apparire legittimo il link dannoso. Sebbene il rapporto non identifichi il malware, le tattiche ricordano quelle utilizzate negli attacchi del loader Nitrogen. Anche se l'attribuzione è incerta, le somiglianze sono degne di nota.

Il rapporto non conferma se il dipendente avesse privilegi amministrativi, lasciando aperti scenari come diritti di amministratore locale o l'uso di un sistema in cui gli strumenti di amministrazione erano comunemente installati.

Persistenza e comunicazioni

Il malware installato il 14 maggio ha creato una backdoor che è rimasta attiva anche dopo che Symantec ha rilevato e rimosso il file sorgente il 26 giugno. La backdoor probabilmente ha apportato modifiche alla configurazione e ha lasciato artefatti non rilevati dalla protezione degli endpoint. Si è connessa all'infrastruttura degli attaccanti ogni volta che un utente effettuava l'accesso, permettendo agli attori delle minacce di operare nel contesto dell'utente e di minimizzare gli avvisi dai controlli a livello di sistema o dalle anomalie di rete.

Escalation dei privilegi e movimento laterale

Con un punto d'appoggio su una workstation, gli attaccanti hanno installato uno strumento di monitoraggio e gestione remota (RMM), consentendo loro di registrare i tasti, visualizzare gli schermi e, infine, catturare 26 set di credenziali. Lo strumento RMM è diventato il metodo principale per raccogliere informazioni, mentre la backdoor garantiva un accesso continuo. Tenendo presente ciò, ecco il probabile percorso dal contesto della workstation/utente all'accesso alla rete e al server:

  • Iniziato con accesso a livello utente, mantenendo la comunicazione tramite backdoor.
  • Installato manualmente uno strumento RMM commerciale con le credenziali dell'utente.
  • Utilizzato RMM per acquisire credenziali standard e privilegiate, consentendo accessi amministrativi.
  • Sfruttati i privilegi amministrativi e RDP per navigare nella rete attraverso tunnel crittografati.

Esfiltrazione dei dati

Gli attaccanti hanno aggregato decine di migliaia di file sensibili in un unico archivio ZIP, suddiviso in sei parti per un trasferimento più facile. Gli investigatori non hanno trovato conferme di un'estrazione riuscita o prove sui siti di leak. Tuttavia, una dichiarazione del 27 agosto dell'Ufficio Tecnologico del Governatore suggeriva che alcuni dati potrebbero essere stati spostati al di fuori della rete. Entrambe le dichiarazioni possono essere vere, poiché gli standard per "prove" e "conferma" variano.

L'AAR riporta che sono stati accessi 26.408 file e 3.241 file sono stati potenzialmente esposti. Un file conteneva informazioni personali di un ex dipendente statale, che è stato notificato. Gli investigatori continuano a monitorare i segni di esfiltrazione.

crittografia

La famiglia di ransomware e il binario di crittografia rimangono non identificati. Prima del dispiegamento, gli attaccanti hanno eliminato tutti i volumi di backup e utilizzato l'accesso a livello root sul server di gestione della virtualizzazione per crittografare simultaneamente più macchine virtuali.

 

Avviso pubblico dell'Ufficio Tecnologico del Governatore dello Stato del Nevada, pubblicato su LinkedIn

L'interruzione della rete è iniziata intorno alle 1:52 a.m. PT, colpendo DMV, sicurezza pubblica, servizi sanitari, tribunali e altri portali statali. Una nota di riscatto è stata lasciata sui sistemi colpiti.

Incident Response

L'Ufficio Tecnologico del Governatore ha segnalato il problema al CIO Timothy D. Galluzi e ad altri funzionari. Il team di risposta:

  • Macchine virtuali isolate interessate
  • Consulenza legale e Mandiant coinvolti tramite canali di cyber-assicurazione
  • Playbook di recupero avviati lo stesso giorno

Il recupero completo a livello statale ha richiesto 28 giorni, sebbene i servizi critici per l'azienda siano stati ripristinati entro la prima settimana. Lo stato ha recuperato il 90% dei dati interessati e non è stato pagato alcun riscatto.

Miglioramenti post-incidente

A seguito dell'attacco, Nevada ha rafforzato la sua posizione sulla sicurezza informatica con diversi miglioramenti:

  • Rilevamento e risposta avanzati degli endpoint (EDR) espansi: Lo stato ha aggiornato la sua protezione degli endpoint per includere analisi comportamentali avanzate e monitoraggio continuo, riducendo la probabilità di persistenza non rilevata.
  • Iniziative di architettura zero trust: Nevada ha accelerato l'adozione dei principi di Zero Trust, imponendo una verifica dell'identità più rigorosa, un accesso a privilegi minimi e una segmentazione nei sistemi critici.
  • Strategia di backup migliorata: Lo stato ha introdotto backup immutabili e archiviazione fuori sede per impedire agli attaccanti di eliminare i volumi di ripristino, garantendo un ripristino più rapido in futuri incidenti.
  • Contratti migliorati con i fornitori e risposta agli incidenti: Gli accordi pre-negoziati sono stati rivisti per garantire un coinvolgimento ancora più rapido degli specialisti in forensics e recupero, con accordi sui livelli di servizio (SLA) più chiari per la risposta alle emergenze.
  • Formazione completa del personale: I programmi di sensibilizzazione sulla sicurezza informatica sono stati ampliati per includere simulazioni del phishing e l'uso sicuro degli strumenti, riducendo il rischio di compromissione iniziale.
  • Caccia continua alle minacce e esercizi di red team: Nevada ha istituito un team dedicato alla caccia alle minacce e ha programmato valutazioni regolari di red team per identificare proattivamente le vulnerabilità.
  • Operazioni di sicurezza centralizzate: Lo stato ha investito in un Centro Operativo di Sicurezza (SOC) con monitoraggio 24 ore su 24, 7 giorni su 7 e feed di intelligence sulle minacce integrati per il rilevamento e la risposta in tempo reale.

Guardando indietro

La reazione alle prestazioni di recupero dello stato è in gran parte favorevole. L'AAR osserva che il tempo di recupero completo di 28 giorni è "al di sotto della media nazionale" e "ben al di sotto delle tempistiche tipiche del settore pubblico per incidenti di questo tipo". Comparitech rileva che 27,8 giorni è il tempo medio di recupero per le entità governative, ma il Nevada ha ripristinato i servizi critici entro una settimana, ed è stato in grado di rispettare tutte le obbligazioni salariali in tempo. Lo stato ha inoltre completato il processo di recupero senza pagare un riscatto per decrittare i file. Alcuni dei tempi di recupero del Nevada sono al di sotto della media nazionale, ma il tempo di recupero completo di 28 giorni sembra essere in linea con incidenti simili nel settore pubblico.

Il tempo di permanenza di 102 giorni può essere al di sotto della media nazionale. Secondo Gregory Moody dell'Università del Nevada, Las Vegas (UNLV), “tipicamente ci vogliono tra i sette e gli otto mesi” per scoprire un'intrusione come questa. Il 2024 IBM Cost of a Data Breach Report ci dice che il Mean Time to Identify (MTTI) globale per una violazione dei dati è stato di 194 giorni, ovvero circa 6,5 mesi.

Poiché il Nevada non ha pagato un riscatto, probabilmente ha risparmiato oltre $2 milioni per quella voce di bilancio. La spesa diretta di recupero del Nevada di circa $1,5 milioni per i costi dei fornitori e gli straordinari del personale potrebbe essere al di sotto o nella media nazionale. Vari report indicano i costi medi intorno a $1,5-1,8 milioni.

Nel complesso, le prestazioni del Nevada dimostrano che lo stato era ben preparato e resiliente sotto pressione. Sebbene né il tempo di permanenza né la finestra di recupero completa siano stati casi straordinari, la capacità del Nevada di ripristinare i servizi critici entro pochi giorni, evitare di pagare un riscatto e mantenere i costi complessivi di recupero entro le norme nazionali riflette un programma di sicurezza informatica ben strutturato. Questo incidente dovrebbe servire da promemoria del fatto che la preparazione può influire in modo significativo sulla rapidità e sull'efficacia con cui un'organizzazione può riprendersi da un attacco sofisticato e diffuso.

 

ESPLORA LA PIATTAFORMA BARRACUDAONE
Christine Barry

Christine Barry Senior Chief Cybersecurity Storyteller e Content Manager presso Barracuda. Prima di unirsi a Barracuda, Christine è stata ingegnere di campo e project manager per clienti K12 e SMB per oltre 15 anni. Possiede diverse credenziali in tecnologia e gestione dei progetti, un Bachelor of Arts e un Master of Business Administration. Si è laureata presso l'Università del Michigan.

Connettiti con Christine su LinkedIn qui.

 

Unisciti alla nostra community su Reddit!

Post correlati:
Max Messenger: A fake data breach with genuine consequences?
Max Messenger: A fake data breach with genuine consequences?
 Unofficial competition at the Winter Olympics: Cybercrime
Unofficial competition at the Winter Olympics: Cybercrime
 A rise in hacktivist attacks puts all web applications at risk, warns UK’s NCSC
A rise in hacktivist attacks puts all web applications at risk, warns UK’s NCSC
Gestione delle minacce interne all'interno dell'organizzazione
Gestione delle minacce interne all'interno dell'organizzazione
Cerca nel blog

Rapporto sulle violazioni della sicurezza e-mail 2025

Risultati chiave sull'esperienza e l'impatto delle violazioni della sicurezza e-mail sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

The MSP Customer Insight Report 2025

Uno sguardo globale su ciò di cui le organizzazioni hanno bisogno e vogliono dai loro provider di servizi gestiti per la sicurezza informatica

Scarica il report

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Ricevi tutte le ultime notizie, ricerche e analisi direttamente nella tua casella di posta.