Passo a passo: como um download paralisa um governo de Estado

há 2 meses 23

ANUNCIE AQUI

Por uma questão de transparência da administração, a secretaria (ou birô) de tecnologia do Estado americano de Nevada publicou um relatório de 30 páginas elaborado pela empresa Info Tech Research Group, detalhando o que aconteceu durante e após um ataque de ransomware detectado em 24 de agosto, que afetou 60 agências estaduais, algumas por 28 dias. O Info Tech Research Group foi contratado para analisar o incidente minuciosamente. O relatório explica o que deu errado, e mostra o rastreamento do paciente zero, um funcionário do governo estadual que, meses antes, baixou um malware de um site falso, pensando que estava baixando e instalando uma ferramenta administrativa. O relatório também descreve o que funcionou bem, incluindo reuniões internas, financiamento prévio de seguro cibernético e experiência adquirida com simulações anuais de resposta a incidentes.

Intitulado “Relatório Pós-Ação – Incidente Cibernético Estadual de 2025”, o documento, com data de 28 de Outubro de 2025, detalha que o incidente começou em 24 de agosto de 2025, às 01h50 (horário do Pacífico ou 6h50 horário de Brasília), quando o Escritório de Tecnologia do Governador (GTO) do Estado de Nevada identificou uma interrupção no sistema, que resultou na desconexão de várias máquinas virtuais (VMs). Demonstrando sua prontidão, a equipe do GTO seguiu seu Plano de Resposta a Incidentes estabelecido.

O plano incluía o escalonamento imediato do incidente para o CIO, que então coordenou com o Gabinete do Governador, agências críticas do Estado de Nevada e a liderança principal para garantir uma resposta unificada e estratégica. Inicialmente bloqueada nos sistemas, a equipe do GTO conseguiu recuperar o acesso usando credenciais de backup e descobriu arquivos criptografados juntamente com uma nota de resgate. Eles isolaram as VMs afetadas para impedir a propagação do ransomware. A assessoria jurídica da BakerHostetler LLP foi acionada e prontamente contratou a Mandiant, uma empresa líder em cibersegurança sob a gestão do Google Cloud, para conduzir uma investigação forense. Essa abordagem proativa permitiu que o escopo e a natureza do ataque fossem compreendidos rapidamente, possibilitando que o estado tomasse medidas decisivas.

A investigação revelou que o agente malicioso havia se infiltrado no sistema já em 14 de maio de 2025, quando um funcionário público, sem saber, baixou, de um site falsificado, uma ferramenta de administração de sistemas infectada com malware. Essa ferramenta instalou uma backdoor, que permaneceu ativa mesmo após o Symantec Endpoint Protection tê-la colocado em quarentena em 26 de junho. O invasor escalou seu acesso, instalando um software comercial de monitoramento remoto em vários sistemas, comprometendo contas de usuários padrão e privilegiadas.

Em meados de agosto, o invasor já havia estabelecido túneis criptografados e usado o Protocolo de Área de Trabalho Remota (RDP) para se movimentar lateralmente entre sistemas críticos, acessando diretórios sensíveis e até mesmo o servidor de cofre de senhas. Em 24 de agosto, o invasor excluiu volumes de backup e implantou um ransomware, criptografando máquinas virtuais e interrompendo serviços críticos.

Segundo o relatório, graças à rápida resposta da GTO e à colaboração com especialistas em segurança cibernética, as medidas de contenção da ameaça foram implementadas rapidamente. Os protocolos de recuperação foram iniciados imediatamente, minimizando o impacto e garantindo a continuidade das operações essenciais do governo. O incidente, diz o documento, reforça a importância de um plano de resposta a incidentes bem ensaiado e de parcerias de confiança com profissionais das áreas jurídica e de cibersegurança. O incidente também destacou a importância de medidas robustas de cibersegurança e o valor da preparação, bem como o papel crucial do treinamento e da conscientização da equipe na mitigação de riscos cibernéticos.

Ler artigo completo