Nevada Diserang Ransomware, 60 Lembaga Pemerintah Kena Dampak

Pemerintah Negara Bagian Nevada baru-baru ini mengungkap laporan pasca-serangan siber besar yang menimpa jaringan mereka pada Agustus lalu. Dalam laporan setebal puluhan halaman itu, dijelaskan secara detail bagaimana kelompok peretas berhasil menyusup ke sistem pemerintah, memasang ransomware, dan mengacaukan berbagai layanan publik penting.

Namun yang membuat laporan ini menarik bukan hanya besarnya serangan, melainkan transparansi luar biasa yang ditunjukkan oleh pemerintah Nevada. Di tengah banyaknya lembaga yang enggan membuka detail insiden siber, laporan ini menjadi salah satu contoh langka tentang bagaimana sebuah negara bagian menangani krisis digital secara terbuka, sistematis, dan bertanggung jawab.

Dampak Serangan: 60 Lembaga Terdampak

Serangan ini berdampak besar: lebih dari 60 lembaga pemerintahan Nevada mengalami gangguan. Situs web resmi tak bisa diakses, sistem telepon terganggu, dan berbagai layanan daring terhenti sementara. Bahkan, beberapa layanan publik yang bersifat vital ikut lumpuh.

Meski begitu, dalam waktu 28 hari setelah serangan, pemerintah berhasil memulihkan 90 persen data penting tanpa membayar sepeser pun tebusan kepada pelaku. Keberhasilan ini menjadi bukti ketahanan dan koordinasi tim teknologi informasi (TI) Nevada yang solid.

 
Awal Mula Serangan: Terjebak Iklan Palsu di Google

Semua berawal dari hal yang terlihat sepele. Menurut laporan resmi, insiden ini dimulai ketika seorang pegawai negeri mencari alat bantu administrasi sistem melalui mesin pencari Google. Namun, alih-alih menemukan situs resmi, hasil pencarian justru menampilkan iklan berbahaya yang mengarah ke situs palsu yang meniru tampilan situs asli perangkat lunak tersebut.

Tanpa curiga, pegawai itu mengunduh aplikasi dari situs tersebut. Di sinilah serangan ransomware bermula, perangkat lunak itu telah disusupi malware berbahaya yang langsung memasang backdoor (pintu belakang digital) di komputer pegawai tersebut.

Dengan backdoor ini, para peretas mendapat akses jarak jauh ke sistem internal pemerintah Nevada. Praktik semacam ini kini makin sering digunakan, di mana penjahat siber menyebarkan malware melalui iklan pencarian palsu yang meniru aplikasi populer seperti WinSCP, Putty, RVTools, KeePass, LogMeIn, dan AnyDesk.

Begitu malware diinstal, pelaku bisa masuk ke jaringan korban tanpa disadari dan mulai melancarkan aksinya.

 
Langkah Penyerangan: Dari Pemantauan hingga Pencurian Kredensial

Setelah mendapatkan akses awal, peretas mulai bergerak cepat. Pada 5 Agustus, mereka memasang perangkat pemantauan jarak jauh komersial di sistem target. Perangkat ini memberi kemampuan untuk merekam layar komputer dan mencatat setiap penekanan tombol (keylogging).

Sepuluh hari kemudian, infeksi kedua dengan alat serupa kembali terjadi, memperluas kendali mereka atas sistem pemerintahan.

Antara 14 hingga 16 Agustus, peretas memasang alat tunneling terenkripsi khusus untuk menyamarkan aktivitas mereka dari sistem keamanan. Dengan alat ini, mereka bisa membuka sesi Remote Desktop Protocol (RDP) ke berbagai komputer di jaringan pemerintah.

Akses RDP ini memungkinkan mereka bergerak antar-server penting, termasuk server penyimpanan kata sandi (password vault). Dari sini, pelaku mencuri kredensial dari 26 akun pengguna, lalu menghapus log aktivitas sistem untuk menghilangkan jejak digital mereka.

Tim keamanan siber dari Mandiant, yang ditunjuk untuk melakukan investigasi, mengonfirmasi bahwa pelaku telah mengakses lebih dari 26.000 file dan bahkan menyiapkan enam arsip ZIP berisi data sensitif.

Namun, kabar baiknya: tidak ditemukan bukti bahwa data tersebut dicuri atau disebarkan ke publik.

 
Aksi Lanjutan: Menghapus Cadangan dan Menjalankan Ransomware

Serangan mencapai puncaknya pada 24 Agustus. Hari itu, peretas berhasil menembus server cadangan (backup server) dan menghapus seluruh volume cadangan data, langkah yang dilakukan untuk memastikan korban tak bisa melakukan pemulihan dengan mudah.

Tidak berhenti di situ, mereka juga mengakses server manajemen virtualisasi dengan hak istimewa penuh (root access) dan mengubah pengaturan keamanan agar dapat menjalankan kode berbahaya yang tidak terverifikasi.

Pada pukul 08:30:18 UTC, para peretas mulai menjalankan ransomware di seluruh server yang menampung mesin virtual (VM) milik negara bagian Nevada. Dalam hitungan menit, sistem utama pemerintah menjadi tidak bisa diakses.

Sekitar 20 menit kemudian, Kantor Teknologi Gubernur (Governor’s Technology Office / GTO) mendeteksi adanya gangguan besar dan segera mengaktifkan protokol tanggap darurat. Dari sinilah proses pemulihan selama 28 hari dimulai.

 
Menolak Bayar Tebusan, Pilih Gotong Royong Digital

Berbeda dengan banyak korban ransomware lain yang memilih membayar tebusan agar datanya dikembalikan, Nevada memilih jalan berbeda. Pemerintah menegaskan tidak akan menyerah kepada pemeras digital, dan memutuskan untuk mengandalkan tim TI internal sendiri untuk melakukan pemulihan.

Sebanyak 50 pegawai TI pemerintah bekerja siang dan malam, dengan total lebih dari 4.200 jam lembur, menelan biaya sekitar $259.000. Namun, dibandingkan dengan biaya kontraktor luar yang mencapai $175 per jam, langkah ini justru menghemat sekitar $478.000 bagi negara bagian.

Langkah ini terbukti efektif: penggajian pegawai tetap berjalan, layanan publik kembali aktif, dan sistem keamanan dipulihkan tanpa membayar sepeser pun kepada pelaku.

Meski begitu, pemerintah Nevada tetap membutuhkan dukungan vendor eksternal untuk membantu proses investigasi dan pemulihan infrastruktur. Total biaya dukungan dari pihak ketiga ini mencapai lebih dari $1,3 juta, dengan rincian antara lain:

• Microsoft DART – Pemulihan Infrastruktur: $354.481
• Mandiant – Forensik & Investigasi Insiden: $248.750
• Aeris – Dukungan Teknis & Rekayasa Sistem: $240.000
• BakerHostetler – Konsultasi Hukum & Privasi: $95.000
• SHI (Palo Alto) – Layanan Keamanan Jaringan: $69.400
• Dell – Pemulihan Data & Manajemen Proyek: $66.500
• Vendor Lain – Dukungan Tambahan: sekitar $240.000

Menariknya, hingga kini identitas pelaku belum diketahui, dan tidak ada kelompok ransomware besar yang mengklaim bertanggung jawab atas serangan tersebut di situs pemerasan.

 
Pelajaran Penting: Ketahanan dan Transparansi Siber

Serangan ini menjadi ujian besar bagi Pemerintah Nevada, sekaligus bukti nyata ketahanan siber (cyber resilience) yang mereka miliki. Kecepatan tanggapan, disiplin dalam prosedur, serta keterbukaan informasi menjadi faktor kunci yang dipuji banyak pihak.

Dalam laporan tersebut, pemerintah menyebutkan bahwa prioritas utama selama pemulihan adalah mengamankan sistem paling sensitif, dengan membatasi akses hanya untuk personel penting dan terpercaya.

Langkah-langkah strategis yang dilakukan termasuk:

• menghapus akun pengguna lama atau tidak aktif,
• mengatur ulang semua kata sandi,
• menghapus sertifikat keamanan yang sudah kedaluwarsa, dan
• meninjau ulang izin serta aturan akses di seluruh sistem penting.

Selain itu, pemerintah juga menegaskan pentingnya investasi jangka panjang dalam keamanan siber, terutama pada aspek pemantauan (monitoring) dan respons cepat terhadap insiden.

 
Membangun Pertahanan di Era Ancaman Baru

Pemerintah Nevada mengakui bahwa insiden ini menjadi pengingat keras tentang bagaimana celah sekecil apa pun bisa dimanfaatkan oleh penjahat siber. Hanya karena satu pegawai mengunduh perangkat dari situs tidak resmi, seluruh sistem pemerintahan bisa lumpuh.

Namun, di sisi lain, kasus ini juga menjadi contoh positif tentang bagaimana pemerintah bisa bangkit tanpa tunduk pada pelaku kejahatan digital. Dengan kerja keras tim internal, dukungan vendor tepercaya, dan prinsip transparansi, Nevada berhasil pulih tanpa kompromi.

Laporan ini kini dijadikan referensi oleh banyak negara bagian lain di AS sebagai model penanganan insiden siber yang efektif dan bertanggung jawab.

Nevada mungkin telah menjadi korban serangan ransomware, tetapi mereka juga telah berubah menjadi contoh nyata dari ketahanan digital di sektor pemerintahan.