Baltimore nach Ransomware nach 2 Wochen noch offline

Publiziert am 21. Mai 2019 von Günter Born

Auch fast zwei Wochen nach einem Ransomware-Befall sind viele Computersysteme der US-Stadt Baltimore noch immer offline. Ergänzung: Google setzt Baltimore jetzt ihre behördlichen Gmail-Konten zurück.

Anzeige

Angriff am 7. Mai 2019

Ich hatte es hier im Blog aus Zeitgründen nicht thematisiert. Vor fast zwei Wochen hat es einen Cyberangriff auf die Rechnersysteme und Netzwerke der Stadt Baltimore gegeben.

In einer Info der Stadt war nur davon die Rede, dass E-Mail-Systeme und das Netzwerk ausgefallen wären. Die Systeme wurden durch eine RobinHood-Ransomware befallen, wie Arstechnica hier berichtete. Die IT-Verantwortlichen haben dann die IT-Systeme und Netzwerke heruntergefahren.

Lester Davis, ein Sprecher des Büros des Bürgermeisters von Baltimore, sagte dem Ian Duncan von Baltimore Sun, dass der Angriff ähnlich war wie jener war, der die Stadt Greenville, North Carolina, im April 2019 traf.

RobinHood-Ransomware

Der Befall durch die sehr aggressive RobbinHood-Ransomware, die im vergangenen Monat entstanden sein dürfte, wurde dann von Frank Johnson, Chief Information Officer von Baltimore, bestätigt. Der Sicherheitsforscher Vitali Kremez, konnte kürzlich eine Kopie der RobbinHood-Ransomeware analysieren. Gegenüber Arstechnica sagte Kremez, dass die Malware offenbar nur Dateien auf einem einzigen Rechner angreift und sich nicht über Netzwerkfreigaben verbreitet. "Es wird angenommen, dass es über psexec und/oder kompromittierte Domänencontroller direkt auf die einzelnen Maschinen verbreitet wird", sagte Kremez. "Der Grund dafür ist, dass die Ransomware selbst keine Funktion zur Verbreitung in einem Netzwerk aufweist."

Die Probleme halten an

Momentan scheint es die Verwaltung von Baltimore ziemlich zu beuteln, denn Arstechnica berichtet hier, dass immer noch viele Systeme offline seien. Es kann noch Wochen dauern, bis die Dienste der Stadt wieder so funktionieren, wie es einem 'normalen manuellen Arbeitsablauf' entspricht. Also faktisch ein Notbetrieb. Die Wasserabrechnung und andere Zahlungssysteme der Stadt bleiben offline, ebenso wie der Großteil des E-Mail-Verkehrs der Stadt und ein Großteil der Telefonanlagen der Stadtverwaltung.

Der Ransomware-Angriff traf die Stadtverwaltung in einer Phase des Übergangs im Rathaus. Bürgermeister Bernard C. "Jack" Young trat sein Amt offiziell nur wenige Tage vor dem Angriff an. Die Vorgängerin, Catherine Pugh, musste als Bürgermeisterin zurücktreten und sieht sich einer Korruptionsuntersuchung gegenüber. Auch einige der kritischen Stabsstellen des Bürgermeisters blieben unbesetzt – Sheryl Goldstein, der stellvertretende Stabschef des Bürgermeisters, gerade mit seiner Arbeit.

Baltimore hat keine Versicherung, um die Kosten für einen Cyberangriff zu decken. Die Kosten für die Bereinigung der Systeme von der RobbinHood-Ransomware, werden die von den Ransomware-Betreibern geforderten ca. 70.000 Dollar bei weitem übersteigen. Die Kosten werden also vollständig von den Bürgern Baltimores getragen.

Anzeige

Der Informationssicherheitsmanager von Baltimore mahnte bei den Haushaltsanhörungen im vergangenen Jahr, eine Richtlinie, wie bei Cyberangriffen zu verfahren sei, zu erlassen und Mittel bereitzustellen. Aber der endgültige Haushalt enthielt keine Mittel für diesen Bereich und beinhaltete auch keinen Finanzrahmen für eine erweiterte Sicherheitsausbildung für städtische Angestellte oder andere strategische Investitionen, die Teil des strategischen Plans des Bürgermeisters für die Informationstechnologie-Infrastruktur der Stadt waren.

Aktuell können die Verantwortlichen nicht angeben, wann die IT-Systeme der Stadtverwaltung wieder in einem Zustand sind, dass die Verwaltung wieder arbeiten kann.

Google kickt GMail-Konten raus

Ergänzung: Ich habe zum 24.5.2019 die Meldung gelesen, dass Google jetzt damit begonnen hat, die Gmail-Konten der Stadt Baltimore zurückzusetzen und wieder zu aktivieren. Habe ich erst nicht verstanden, da der Artikel einer Agentur in Baltimore für mich gesperrt war (IP-Sperre für Zugriffe aus Europa). The Verge hat es aber hier aufgeklärt.

  • Nach der Ransomware-Attacke ist auch das E-Mail-System der städtischen Behörden außer Betrieb.
  • Irgend ein Cleverle kam auf die Idee 'nehmen wir doch Google Gmail als Ersatz'.
  • Dann haben sehr viele städtische Angestellte Gmail-Konten eingerichtet.
  • Da aber auch Behörden kommerzielle Nutzer sind und für Google-Dienste zahlen müssen, wurden die neuen Gmail-Konten automatisch wieder deaktiviert.

Verantwortlich dafür war eine Google-Software, die das überwacht. Nun beginnt Google damit, die gesperrten Gmail-Konten wieder freizugeben, damit die städtischen Angestellten in Baltimore untereinander wieder dienstlich kommunizieren können.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Baltimore nach Ransomware nach 2 Wochen noch offline

  1. Roland Moser sagt:
    21. Mai 2019 um 18:29 Uhr

    "…Die Vorgängerin, Catherine Pugh, musste als Bürgermeisterin zurücktreten und sieht sich einer Korruptionsuntersuchung gegenüber…"
    Da kommt der Angriff ja gerade Rechtzeitig, damit Beweismittel verschwinden :-)

    Antworten
  2. RUTZ-AhA sagt:
    22. Mai 2019 um 00:52 Uhr

    Der Anschein spricht für seit länger währendem Politfilz. Dann werden die Kosten zur Beseitigung der Probleme wohl geschönt beziffert, um nicht den Unmut der Bürger zu riskieren

    Antworten

Schreibe einen Kommentar zu RUTZ-AhA Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.