Pemerintah Negara Bagian Nevada merilis laporan pasca-insiden yang menjelaskan secara transparan bagaimana peretas berhasil menembus sistem mereka dan melancarkan serangan ransomware pada Agustus lalu. Laporan tersebut menjadi salah satu dokumen teknis paling terbuka yang pernah diterbitkan oleh lembaga pemerintah di Amerika Serikat mengenai insiden siber, menggambarkan secara rinci langkah-langkah pelaku dan proses pemulihan yang dilakukan.
Serangan ini berdampak pada lebih dari 60 lembaga pemerintahan negara bagian dan mengganggu berbagai layanan penting—mulai dari situs web, sistem telepon, hingga platform daring. Dalam waktu 28 hari, tanpa membayar tebusan, Nevada berhasil memulihkan 90% data penting yang dibutuhkan untuk mengoperasikan kembali layanan publik.
Awal Kebocoran dan Akses Awal
Menurut laporan tersebut, pelanggaran pertama terjadi pada 14 Mei, meski baru terdeteksi pada 24 Agustus. Seorang pegawai negara tanpa sadar mengunduh versi trojan dari sebuah alat administrasi sistem setelah mengklik iklan berbahaya di hasil pencarian Google. Situs palsu tersebut meniru proyek resmi dan menyisipkan backdoor pada perangkat korban.
Teknik ini semakin sering digunakan oleh pelaku kejahatan siber yang memanfaatkan iklan pencarian untuk menyebarkan malware berkedok aplikasi populer seperti WinSCP, PuTTY, RVTools, KeePass, LogMeIn, dan AnyDesk. Karena aplikasi tersebut umumnya digunakan oleh administrator sistem, pelaku berharap bisa langsung memperoleh akses dengan hak istimewa di jaringan target.
Setelah dijalankan, malware tersebut menginstal backdoor tersembunyi yang otomatis terhubung ke infrastruktur penyerang setiap kali pengguna masuk ke sistem, memberikan akses jarak jauh yang persisten ke jaringan internal Nevada.
Upaya Pertahanan yang Gagal
Pada 26 Juni, perangkat lunak keamanan Symantec Endpoint Protection (SEP) sempat mendeteksi dan menghapus alat berbahaya tersebut. Namun, mekanisme persistensi masih aktif, memungkinkan peretas tetap masuk ke lingkungan sistem.
Pada 5 Agustus, pelaku menginstal perangkat pemantauan jarak jauh komersial untuk merekam layar dan penekanan tombol. Sepuluh hari kemudian, infeksi kedua terjadi dengan alat serupa. Di antara 14–16 Agustus, mereka menanamkan alat jaringan terenkripsi khusus guna melewati pengamanan dan membuka sesi Remote Desktop Protocol (RDP) di beberapa sistem.
Melalui akses ini, peretas bergerak lateral ke server penting termasuk password vault server, mencuri kredensial 26 akun, lalu menghapus event log guna menutupi jejak. Tim Mandiant yang menangani insiden memastikan bahwa 26.408 file diakses, meski tidak ditemukan bukti kebocoran atau publikasi data.
Eksekusi Ransomware dan Upaya Pemulihan
Pada 24 Agustus, pelaku menghapus seluruh volume cadangan dari server backup dan mengubah konfigurasi keamanan pada server virtualisasi untuk memungkinkan eksekusi kode tidak bertanda tangan. Pukul 08:30:18 UTC, ransomware disebar ke seluruh server yang menjalankan mesin virtual milik negara bagian.
Kantor Teknologi Gubernur (Governor’s Technology Office/GTO) mendeteksi gangguan sekitar 20 menit kemudian, menandai awal proses pemulihan besar-besaran selama 28 hari.
Nevada menolak keras untuk membayar tebusan dan memilih mengandalkan tim IT internalnya sendiri. Sebanyak 50 pegawai bekerja lembur dengan total 4.212 jam, menelan biaya sekitar USD 259.000. Pendekatan ini tidak hanya memungkinkan sistem penting seperti payroll dan layanan komunikasi publik tetap berjalan, tetapi juga menghemat sekitar USD 478.000 dibandingkan jika menggunakan kontraktor eksternal dengan tarif standar USD 175 per jam.
Biaya dan Evaluasi Pasca-Insiden
Total biaya bantuan dari vendor eksternal selama masa pemulihan mencapai lebih dari USD 1,3 juta, mencakup dukungan dari Microsoft DART, Mandiant, Aeris, BakerHostetler, SHI (Palo Alto), Dell, dan penyedia layanan lainnya. Menariknya, hingga kini tidak ada kelompok ransomware besar yang mengklaim bertanggung jawab atas serangan tersebut di situs pemerasan daring.
Insiden ini menegaskan ketahanan siber Nevada serta pentingnya tindakan cepat berdasarkan playbook penanganan insiden. Laporan juga menyoroti langkah-langkah perbaikan yang diterapkan, seperti menghapus akun lama, mengganti semua kata sandi, mencabut sertifikat keamanan usang, serta meninjau ulang izin akses agar hanya personel berwenang yang dapat mengelola sistem sensitif.
Meski berhasil pulih tanpa membayar tebusan, pemerintah negara bagian mengakui masih banyak ruang untuk perbaikan, terutama dalam peningkatan kemampuan pemantauan dan respons terhadap ancaman siber.