به گزارش کارگروه بین الملل خبرگزاری سایبربان، با همکاری افبیآی (FBI)، شرکت امنیت سایبری ماندیانت (Mandiant) و چند سازمان دیگر، دولت ایالت توانست ظرف ۲۸ روز از حمله باجافزاری بهبود یابد و حدود ۹۰ درصد از دادههای آسیبدیده را بازیابی کند.
مقامات ایالتی توضیح دادند که دادههای باقیمانده برای بازگرداندن خدمات حیاتی ضروری نبوده و بر اساس سطح ریسک در حال بررسی است.
در گزارش، نام گروه باجافزاری یا مبلغ درخواستی ذکر نشده است.
با این حال، مسئولان اعلام کردند که تصمیم به پرداخت نکردن باج «بهراحتی گرفته نشده» و بر اساس اطمینان آنها از توانایی استفاده از نسخههای پشتیبان برای بازیابی سامانهها بوده است.
به گفتهی شرکت ماندیانت، منشاء حملهی باجافزاری به یک کارزار موسوم به آلودهسازی بهینهسازی موتور جستجو (SEO poisoning) بازمیگردد، که در آن مهاجمان کد مخرب را در یک منبع آنلاین معتبر و پرمراجعه برای کارکنان فناوری اطلاعات دولت جاسازی کرده بودند.
در گزارش آمده است:
تحقیقات نشان داد که مهاجم در تاریخ ۱۴ می ۲۰۲۵ وارد سامانه شده است، زمانی که یکی از کارمندان ایالتی بهصورت ناخواسته یک ابزار مدیریت سیستم آلوده به بدافزار را از یک وبسایت جعلی دانلود کرد. مهاجم از تبلیغات واقعی گوگل به عنوان مسیر انتقال بدافزار استفاده کرده بود.
این ابزار یک درب پشتی مخفی (backdoor) نصب کرد که حتی پس از آنکه نرمافزار محافظت نقطه پایانی سیمانتک (Symantec Endpoint Protection) آن را در تاریخ ۲۶ ژوئن قرنطینه کرد، همچنان فعال ماند.
مهاجم سپس با نصب یک نرمافزار تجاری نظارت از راه دور بر روی چند سامانه، سطح دسترسی خود را افزایش داد و حسابهای کاربری عادی و مدیریتی را آلوده کرد.
بین تاریخهای ۱۶ تا ۲۴ اوت، هکر در میان سامانههای حیاتی بهصورت جانبی جابجا شد و به پوشههای حساس از جمله سرور ذخیره رمزهای عبور دسترسی یافت.
او برای پنهانسازی ردپای خود، گزارشها (logs) را حذف و نسخههای پشتیبان را قبل از اجرای باجافزار پاک کرد.
بر اساس یافتههای تحقیق، ۲۶٬۴۰۸ فایل مورد دسترسی قرار گرفته بودند، اما تنها یک سند شامل اطلاعات شخصی یک کارمند سابق بود که به وی اطلاع داده شده است.
محققان هیچ مدرکی دال بر خروج دادهها یا انتشار آن در وبسایتهای نشت باجافزار نیافتهاند، اما همچنان در حال نظارت بر موضوع هستند.
تا روز پنجشنبه، هیچ گروه باجافزاری مسئولیت این حمله را بر عهده نگرفته است.
تیموتی گالوز، مدیر ارشد فناوری اطلاعات ایالت، توضیح داد که احتمال تأثیر جدی بر عملکرد ایالت پایین است، اما نظارت بر وضعیت ادامه دارد.
در مجموع، دولت ایالت بیش از ۲۵۹ هزار دلار بابت اضافهکاری به ۵۰ کارمند دولتی پرداخت کرده که بین تاریخهای ۲۴ اوت تا ۲۰ سپتامبر در مجموع ۴٬۲۱۲ ساعت اضافهکاری انجام دادهاند.
هزینههای پیمانکاران خارجی نیز به ۱.۳ میلیون دلار رسیده است.
بر اساس گزارش، ادارات بهداشت، خدمات خودرو (DMV) و امنیت عمومی از جمله مهمترین نهادهایی بودند که تحت تأثیر این حمله قرار گرفتند.
پس از آغاز حمله، دفاتر دولتی برای چند روز تعطیل شدند و وبسایتها و خطوط تلفن چندین نهاد از کار افتادند.
جو لومباردو، فرماندار ایالت نوادا، در بیانیهای اعلام کرد:
تیمهای ما خدمات اصلی را حفظ کردند، حقوق کارکنان را بهموقع پرداختند و بدون پرداخت به مجرمان، بهسرعت بازیابی شدند.
در طول ۲۸ روز اختلال ناشی از حمله، دفتر فرماندار با بیش از ۶۰ نهاد ایالتی و چندین شرکت پیمانکار برای مقابله با حادثه همکاری کرد.
وزارت امنیت داخلی آمریکا (DHS) نیز در کنار افبیآی و نیروهای پلیس محلی به روند بازیابی کمک کرد.
در گزارش آمده است که یکی از اولویتهای اصلی در روند بازیابی، راهاندازی مجدد سامانه پرداخت حقوق کارکنان دولت بوده است تا اطمینان حاصل شود حقوقها بهموقع پرداخت میشود.
همچنین برنامهای برای تقویت امنیت سامانههای ایالتی، جداسازی بیشتر بخشها از یکدیگر و گسترش ابزارهای امنیتی تدوین شده است.
این حمله همزمان شد با کاهش خدمات حیاتی دولت فدرال برای حمایت سایبری از دولتهای محلی.
وزارت امنیت داخلی در اوایل سال جاری، صدها کارمند از آژانس امنیت سایبری و زیرساخت (CISA) را اخراج کرده و همچنان در حال کاهش نیرو است، در حالی که طی همین مدت، چندین دولت محلی در آمریکا در اثر حملات سایبری خدمات حیاتی خود را از دست دادهاند.
در دو هفته گذشته، گزارشهایی از وقوع حملات سایبری علیه دولتهای ایالتی در تگزاس، تنسی و ایندیانا منتشر شده است و همچنین یک شهرداری در ایالت کارولینای جنوبی روز چهارشنبه از وقوع حادثه مشابهی خبر داد.
