מתקפת כופרה נגד מדינת נבדה שהתרחשה באוגוסט החלה בפריצה בחודש מאי, כאשר עובד מדינה הוריד בטעות מאתר אינטרנט כלי המכיל נוזקות – כך עולה מדו"ח פורנזי שפרסמה המדינה. פקידי הממשל סירבו להיכנע לדרישת הכופר ושחזרו במשך 28 ימים 90% מהנתונים שנפגעו. למדינה היה כיסוי ביטוחי והסכמי ספקים, אשר תרמו להחלטה לא לשלם את דמי הכופר.
"בניסיון לסחוט את המדינה, ביצעו פושעי סייבר מתקפה שמטרתה להשבית את מערכות המחשוב של המדינה והשאירו אחריהם פתק עם הוראות כיצד לשחזר את המערכות והנתונים המוצפנים" אמר טימותי גאלוצי – מנהל מערכות המידע הראשי ומנהל בכיר במשרד הטכנולוגיה של מושל נבדה. המתקפה השפיעה על כ- 60 משרדי ממשל ברחבי נבדה, כולל שירותים קריטיים במשרד הבריאות ושירותי האנוש, משרד כלי הרכב הממונעים ומשרד הבטיחות הציבורית. פושעי הסייבר השיגו גישה ליותר מ- 26,400 קבצים. 3,200 קבצים נוספים נותרו חשופים במערכות מרובות. המדינה ספגה כ- 1.3 מיליון דולר בהוצאות הקשורות לעלויות שחזור, כאשר היא שכרה מספר חברות גדולות כדי לסייע בחקירה ובשיקום שירותי הממשל – Mandiant, Dell, Microsoft DART, Palo Alto Networks, Aeris וחברות אחרות.
המתקפה מדגישה את האתגר הגובר העומד בפני המגזר הציבורי לשמור על חוסן ולהמשיך לספק שירותים חיוניים, כולל תגובה לחירום, בטיחות הציבור ובריאות.
בחקירה נמצא כי עובד המדינה הוריד את הכלי הזדוני ב- 14 במאי, ששחרר דלת אחורית נסתרת למערכות המחשוב. הדלת האחורית נשארה פעילה עד שהועברה לבידוד על ידי Symantec Endpoint Protection ב- 26 ביוני. פושעי הסייבר התקינו תוכנת ניטור מרחוק על מספר חשבונות והשתמשו בפרוטוקול שולחן עבודה מרוחק כדי לעבור בין מערכות מחשוב קריטיות ולגשת לספריות רגישות. אישורים מ- 26 חשבונות נגנבו ויומני אירועים נוקו כדי להסתיר ראיות לתנועה הבלתי מורשית. במהלך המתקפה, ב- 24 באוגוסט, מחקו פושעי הסייבר אמצעי אחסון גיבויים, פרסו את הכופרה והצפינו מכונות וירטואליות.
דובר מטעם מדינת נבדה מסר כי החקירה לא מצאה ראיות חד משמעיות לכך שנגנבו קבצים או שמידע פורסם באתר הדלפות מידע. עם זאת, אושר כי קובץ עם נתונים השייכים לעובד מדינה לשעבר נגנב וכי אותו אדם יקבל על כך הודעה.
