Selon la Governor’s Technology Office (GTO) du Nevada, sous la direction de l’Office du CIO, l’État a coordonné la remédiation d’une brèche ciblée qui a perturbé des systèmes pendant environ 28 jours.
Le point d’entrée provient d’une campagne de Search Engine Optimization poisoning (SEO poisoning) : un acteur malveillant a injecté du code dans une ressource en ligne de confiance, fréquemment consultée par le personnel IT de l’État. Ce code a été téléchargé et installé sur un poste de travail interne, contournant les défenses endpoint et offrant un accès non autorisé à des systèmes critiques.
Le ou les auteurs ont déployé une attaque visant à mettre des systèmes hors ligne et ont laissé une note contenant des instructions pour récupérer des systèmes et données chiffrés, dans une tentative d’extorsion. 🛑🔒
La GTO, sous l’autorité de l’Office du CIO, a coordonné les efforts de remédiation pour restaurer les services impactés.
Indicateurs et techniques:
- IOCs : aucun indicateur technique partagé dans l’extrait.
- TTPs : SEO poisoning ; compromission d’une ressource en ligne de confiance (type watering hole) ; téléchargement/installation de code malveillant sur un poste interne ; contournement des défenses endpoint ; accès non autorisé à des systèmes critiques ; mise hors ligne de systèmes ; chiffrement des systèmes/données ; note d’extorsion.
Type d’article: rapport d’incident résumant une brèche ciblée, son impact et la remédiation.
🔗 Source originale : https://www.documentcloud.org/documents/26218568-gto-statewide-cyber-event-aar-final/