Хакеры внедрили программу-вымогатель в системы правительства Невады через вредоносную рекламу и бэкдоры

Власти штата Невада опубликовали подробный технический отчёт об атаке программы-вымогателя, нарушившей работу более 60 государственных учреждений в августе 2025 года. Документ стал одним из немногих примеров полной прозрачности при разборе серьёзного киберинцидента в системе госуправления США. В нём описан весь путь злоумышленников — от начальной компрометации до восстановления инфраструктуры без уплаты выкупа.

Как следует из отчёта, взлом начался 14 мая, задолго до его фактического обнаружения 24 августа. Первоначальный доступ хакеры получили после того, как сотрудник одного из ведомств загрузил фальшивую версию утилиты для системного администрирования. Поиск в Google привёл его на поддельный сайт, замаскированный под официальный ресурс популярного проекта. Вместо нужной программы была установлена троянизированная версия с бэкдором.

Преступники использовали технику продвижения вредоносных ссылок через поисковую рекламу, подменяя оригинальные ресурсы таких инструментов, как WinSCP, Putty, KeePass, LogMeIn и AnyDesk. Тактика нацелена на ИТ-специалистов, обладающих правами доступа к инфраструктуре, что позволяет злоумышленникам сразу проникать глубоко в сеть.

После установки вредонос создал скрытый канал связи с инфраструктурой хакеров, обеспечив постоянный удалённый доступ. Несмотря на то что 26 июня антивирусное ПО Symantec обнаружило угрозу и переместило её в карантин, сохранённые механизмы позволили злоумышленникам восстановить доступ.

5 августа преступники установили на заражённую систему коммерческий инструмент удалённого мониторинга, с помощью которого записывались действия пользователя и фиксировались нажатия клавиш. Спустя 10 дней этот метод был применён повторно. В период с 14 по 16 августа в инфицированной инфраструктуре были развёрнуты зашифрованные туннели для обхода защитных решений и инициированы RDP-сеансы на различных узлах.

Атака вывела из строя критически важные сервисы — от веб-ресурсов и телефонных линий до онлайн-платформ, с которыми взаимодействовали жители штата. Несмотря на масштаб, власти отказались выплачивать выкуп и начали поэтапное восстановление данных. Через 28 дней 90% информации, необходимой для работы государственных структур, удалось вернуть.