خودداری دولت ایالت نوادا از پرداخت باج

به گزارش کارگروه بین الملل خبرگزاری سایبربان، با همکاری اف‌بی‌آی (FBI)، شرکت امنیت سایبری ماندیانت (Mandiant) و چند سازمان دیگر، دولت ایالت توانست ظرف ۲۸ روز از حمله باج‌افزاری بهبود یابد و حدود ۹۰ درصد از داده‌های آسیب‌دیده را بازیابی کند.

مقامات ایالتی توضیح دادند که داده‌های باقیمانده برای بازگرداندن خدمات حیاتی ضروری نبوده و بر اساس سطح ریسک در حال بررسی است.

در گزارش، نام گروه باج‌افزاری یا مبلغ درخواستی ذکر نشده است.

با این حال، مسئولان اعلام کردند که تصمیم به پرداخت نکردن باج «به‌راحتی گرفته نشده» و بر اساس اطمینان آن‌ها از توانایی استفاده از نسخه‌های پشتیبان برای بازیابی سامانه‌ها بوده است.

به گفته‌ی شرکت ماندیانت، منشاء حمله‌ی باج‌افزاری به یک کارزار موسوم به آلوده‌سازی بهینه‌سازی موتور جستجو (SEO poisoning) بازمی‌گردد، که در آن مهاجمان کد مخرب را در یک منبع آنلاین معتبر و پرمراجعه برای کارکنان فناوری اطلاعات دولت جاسازی کرده بودند.

در گزارش آمده است:

تحقیقات نشان داد که مهاجم در تاریخ ۱۴ می ۲۰۲۵ وارد سامانه شده است، زمانی که یکی از کارمندان ایالتی به‌صورت ناخواسته یک ابزار مدیریت سیستم آلوده به بدافزار را از یک وب‌سایت جعلی دانلود کرد. مهاجم از تبلیغات واقعی گوگل به عنوان مسیر انتقال بدافزار استفاده کرده بود.

این ابزار یک درب پشتی مخفی (backdoor) نصب کرد که حتی پس از آن‌که نرم‌افزار محافظت نقطه پایانی سیمانتک (Symantec Endpoint Protection) آن را در تاریخ ۲۶ ژوئن قرنطینه کرد، همچنان فعال ماند.

مهاجم سپس با نصب یک نرم‌افزار تجاری نظارت از راه دور بر روی چند سامانه، سطح دسترسی خود را افزایش داد و حساب‌های کاربری عادی و مدیریتی را آلوده کرد.

بین تاریخ‌های ۱۶ تا ۲۴ اوت، هکر در میان سامانه‌های حیاتی به‌صورت جانبی جابجا شد و به پوشه‌های حساس از جمله سرور ذخیره رمزهای عبور دسترسی یافت.

او برای پنهان‌سازی ردپای خود، گزارش‌ها (logs) را حذف و نسخه‌های پشتیبان را قبل از اجرای باج‌افزار پاک کرد.

بر اساس یافته‌های تحقیق، ۲۶٬۴۰۸ فایل مورد دسترسی قرار گرفته بودند، اما تنها یک سند شامل اطلاعات شخصی یک کارمند سابق بود که به وی اطلاع داده شده است.

محققان هیچ مدرکی دال بر خروج داده‌ها یا انتشار آن در وب‌سایت‌های نشت باج‌افزار نیافته‌اند، اما همچنان در حال نظارت بر موضوع هستند.

تا روز پنج‌شنبه، هیچ گروه باج‌افزاری مسئولیت این حمله را بر عهده نگرفته است.

تیموتی گالوز، مدیر ارشد فناوری اطلاعات ایالت، توضیح داد که احتمال تأثیر جدی بر عملکرد ایالت پایین است، اما نظارت بر وضعیت ادامه دارد.

در مجموع، دولت ایالت بیش از ۲۵۹ هزار دلار بابت اضافه‌کاری به ۵۰ کارمند دولتی پرداخت کرده که بین تاریخ‌های ۲۴ اوت تا ۲۰ سپتامبر در مجموع ۴٬۲۱۲ ساعت اضافه‌کاری انجام داده‌اند.

هزینه‌های پیمانکاران خارجی نیز به ۱.۳ میلیون دلار رسیده است.

بر اساس گزارش، ادارات بهداشت، خدمات خودرو (DMV) و امنیت عمومی از جمله مهم‌ترین نهادهایی بودند که تحت تأثیر این حمله قرار گرفتند.

پس از آغاز حمله، دفاتر دولتی برای چند روز تعطیل شدند و وب‌سایت‌ها و خطوط تلفن چندین نهاد از کار افتادند.

جو لومباردو، فرماندار ایالت نوادا، در بیانیه‌ای اعلام کرد:

تیم‌های ما خدمات اصلی را حفظ کردند، حقوق کارکنان را به‌موقع پرداختند و بدون پرداخت به مجرمان، به‌سرعت بازیابی شدند.

در طول ۲۸ روز اختلال ناشی از حمله، دفتر فرماندار با بیش از ۶۰ نهاد ایالتی و چندین شرکت پیمانکار برای مقابله با حادثه همکاری کرد.

وزارت امنیت داخلی آمریکا (DHS) نیز در کنار اف‌بی‌آی و نیروهای پلیس محلی به روند بازیابی کمک کرد.

در گزارش آمده است که یکی از اولویت‌های اصلی در روند بازیابی، راه‌اندازی مجدد سامانه پرداخت حقوق کارکنان دولت بوده است تا اطمینان حاصل شود حقوق‌ها به‌موقع پرداخت می‌شود.

همچنین برنامه‌ای برای تقویت امنیت سامانه‌های ایالتی، جداسازی بیشتر بخش‌ها از یکدیگر و گسترش ابزارهای امنیتی تدوین شده است.

این حمله هم‌زمان شد با کاهش خدمات حیاتی دولت فدرال برای حمایت سایبری از دولت‌های محلی.

وزارت امنیت داخلی در اوایل سال جاری، صدها کارمند از آژانس امنیت سایبری و زیرساخت (CISA) را اخراج کرده و همچنان در حال کاهش نیرو است، در حالی که طی همین مدت، چندین دولت محلی در آمریکا در اثر حملات سایبری خدمات حیاتی خود را از دست داده‌اند.

در دو هفته گذشته، گزارش‌هایی از وقوع حملات سایبری علیه دولت‌های ایالتی در تگزاس، تنسی و ایندیانا منتشر شده است و همچنین یک شهرداری در ایالت کارولینای جنوبی روز چهارشنبه از وقوع حادثه مشابهی خبر داد.