Ein Ransomware-Befall legt die Verwaltung der US-Stadt Baltimore seit 2 Wochen lahm. Jetzt kommt heraus: Der von der NSA entwickelte EternalBlue-Exploit war dafür verantwortlich, dass die Schadsoftware sich wo weit in den Computernetzwerken der Stadt verbreiten konnte. Hat jetzt etwas von 'eat your own dog food'.
Anzeige
Der Ransomware-Befall in Baltimore
Ich hatte es hier im Blog aus Zeitgründen nicht thematisiert. Am 7. Mai 2019 wurde die US-Stadt Baltimore erfolgreich durch einen Cyber-Angriff attackiert. In Folge wurden in der Verwaltung der Stadt alle Netzwerke und das E-Mail-System betroffen und mussten herunter gefahren werden. Die IT-Systeme waren durch eine RobinHood-Ransomware befallen, wie Arstechnica hier berichtete. Ein Beitrag in deutscher Sprache gibt es bei heise.
In der öffentlichen Verwaltung von Baltimore geht momentan nichts mehr – keine Fahrzeugummeldungen, Wasserabrechnungen, Hausverkäufe, alles, was über die Stadtverwaltung abgewickelt werden muss und von deren IT abhängt, ist betroffen.
Auch fast 3 Wochen nach dieser Attacke sind die Systeme in Baltimore nicht wirklich arbeitsfähig – die städtischen Angestellten versuchen per Gmail zu kommunizieren. Was dazu führte, dass Google diese Konten deaktivierte. Ich hatte darüber im Blog-Beitrag Baltimore nach Ransomware nach 2 Wochen noch offline berichtet.
EternalBlue-Exploit für Verbreitung verantwortlich
Mir sagte die RobinHood-Ransomware nichts – ich habe nur zur Kenntnis genommen, dass es mit der IT in Baltimore wohl nicht zum Besten bestellt sein kann, wenn die nach 2 Wochen immer noch nicht wieder arbeitsfähig sind.
Was frustrierte Stadtangestellte und Bewohner nicht wissen: Eine Schlüsselkomponente der Malware, die von Cyberkriminellen bei dem Angriff verwendet wurde, stammt aus den Arsenalen der NSA und wurde auf Kosten des Steuerzahlers entwickelt. Eine kurze Fahrt über den Baltimore-Washington Parkway zur National Security Agency (NSA) würde die Leute zu den Urhebern des Schlamassels führen. Das schreibt die New York Times unter Berufung auf Sicherheitsexperten, die über den Fall informiert sind, in diesem Artikel (The Verge hat hier die Informationen, falls der NYT-Artikel hinter einer Paywall verschwindet).
Die zur Verbreitung der Ransomware verwendete Komponente war das von der NSA entwickelte EternalBlue-Exploit. Dieses gelangte ja in die Hände der Hackergruppe Shadow Brokers, die diesen dann im April 2017 veröffentlichten. Kurz darauf gab es die verheerenden Ransomware-Ausbrüche WannaCry und NotPetya, die weltweit tausende Computer befielen. In allen Fällen waren nicht gepatchte Windows-Systeme der Grund, warum der EternalBlue-Exploit so gut funktionierte und die Ransomware sich in den Computernetzwerken verbreiten konnte.
Seit 2017, als die NSA die Kontrolle über das Tool EternalBlue verlor, wurde es von staatlichen Hackern in Nordkorea, Russland und in jüngster Zeit auch in China aufgegriffen, um Ransomware-Angriffe weltweit durchzuführen. Das führte inzwischen zu Milliarden-Schäden. In Baltimore waren offenbar veraltete und nicht gepatchte Windows-Systeme im Einsatz. Denn Microsoft hatte die EternalBlue-Schwachstelle bereits im April 2017, als der Exploit freigegeben wurde, geschlossen. Auch die WannaCry- und NotPetya-Ausbrüche gehen auf das Konto ungepatchter Systeme.
Es ist abe nicht nur in Baltimore, welches jetzt erfolgreich per Ransomware angegriffen wurde. Die New York Times zitiert Sicherheitsexperten, die sagen, dass die EternalBlue-Angriffe einen Höhepunkt erreicht haben. Cyberkriminelle konzentrieren sich auf die Infrastruktur amerikanische Städte, von Pennsylvania bis Texas. Durch die erfolgreichen Ransomware-Attacken lähmen die lokalen Stadtverwaltungen und treiben deren Kosten in die Höhe.
Anzeige
Ähnliche Artikel:
Ransomware WannaCry befällt tausende Computer weltweit
Malwarebytes-Analyse: Wie sich WannaCry verbreitete
WannaCrypt: Updates für Windows XP, Server 2003 & Co.
WannaCry: Neue Versionen und mehr Neuigkeiten
WannaCry: Die Lage am Montag
WannaCry: Meist ungepatchte Windows 7 Systeme befallen
Malwarebytes-Analyse: Wie sich WannaCry verbreitete
WannaCry: Hinweise auf Lazarus-Gruppe
WannaCry: Verschlüsselte Daten per Recovery retten?
WannaCry & Co.: EternalBlue Vulnerability Checker und Crysis Ransomware Decryptor
WannaCry: Analysen, Windows 10-Port, Daten-Recovery …
Sicherheitsinfos: WannaCry, Locky, Hacks und mehr
Wannycry: WCry-Decryptor für Windows XP
WannaCry Clone Ransomware befällt Systeme in der Ukraine
WannaCry-Infektionen bei Daimler?
WannaCry: Microsoft beschuldigt Nordkorea
Vermutlich WannaCry Ransomeware-Ausbruch bei Boeing
WannaCry: Die Gefahr ist noch nicht gebannt
WannaCry Wiederkehr? Von wegen, Betrugs-Mail
WannaCry hat bei Chiphersteller TSMC zugeschlagen …
Sicherheitsinfo: Neue WannaCry-Infektionen
Nachtlektüre: NotPetya-Infektion bei A.P. Møller-Maersk
Master-Key der Petya Ransomware freigegeben
ESET Analyse zu Not Petya/Diskcoder.C Verbreitung
Neues zu Petya: Zahl der Infektionen, Ziele und mehr …
Neues zur Petya Ransomware – Gegenmittel gefunden?
Achtung: Petya Ransomware befällt weltweit Systeme
Warnung vor neuem NotPetya-ähnlichem Cyber-Angriff
Vage Hoffnung: Verschlüsselung von NotPetya knackbar
Briten: Russisches Militär für NotPetya-Angriff verantwortlich
2015
Es wäre halt keine schlechte Idee gewesen im Vorfeld in IT & Sicherheit zu investieren. Wird auch nicht die letzte Cyberbedrohung gewesen sein, aber da werden 9x% der bisherigen Opfer prompt wieder reinlaufen…
Problem: Die NSA kann Milliarden für so einen Mist verbraten. Und den Kommunen fehlt das Geld für die einfachsten Sachen. Der Beitrag soll aufzeigen, auf welch wackeligem Fundament die öffentliche Infrastruktur steht, und die Traumtänzer wollen noch mehr automatisieren un vernetzen. Uns in D nehme ich nicht aus.
Die von den US- Geheimdiensten entwickelte Software Produkte sollten ja nur zum Schutz des Staates und seiner Bürger dienen.
Was jetzt gerade mit der Verbreitung von Ransomware und Trojanern mit Hilfe eben solcher NSA Software geschieht ist auch ein böses Omen für die Zukunft.
Entwendete Online-Verteidungswaffen konnten in der Hand von Kriminellen tatsächlich zu wirksamen Angriffswaffen umfunktioniert werden welche in der Realität trotz schnell implementierter Gegenmassnahmen Milliardenschäden verursachen.
Könnte man darüber lachen und rufen "selber Schuld, man hätte sich ja schützen können" und dann zur Tagesordnung übergehen.
Das böse Omen besagt jedoch dreierlei;
a) jedes gefährliche Produkt welches zur Verteidigung entwickelt wurde, das wird irgendwann auch als Waffe eingesetzt.
b) Trotz weltweit vorhandener Immunisierung der Betriebssysteme der zur Angriffswaffe umfunktionierten Software verbleiben stets tausende Computernetzwerke infolge veralteter und nicht gepatchter Produkte ohne Schutz.
c) Es werden auch Personen geschädigt die selbst ein aktualisiertes geschütztes Betriebssystem einsetzen, durch indirekte Einwirkung ungeschützter Systeme oder durch Einwirkung von Dritten welche geschädigt wurden und dadurch ihre Dienste nicht mehr anbieten können.
Die Geheimdienste entwickeln derzeit Software -Verteidigungswaffen die mit künstlicher Intelligenz arbeiten. Dadurch werden potentielle Gefahren mitentwickelt die zu Schäden führen könnten welche wir uns derzeit kaum vorstellen können. Im schlimmsten Fall droht sogar der weltweite Ausfall des Internet und aller IP Netzwerke -inklusive den auf Hochglanz polierten neuen Satelliten die der US- Milliardär Musk gerade in den Orbit schiessen lässt.
Was soll das Gerede von "Online-Verteidigungswaffen"? Solche Exploits, noch dazu wenn sie geheimgehalten werden, sind per se Angriffswaffen, egal in wessen Händen sie sich befinden.
Waffen, deren Existenz offensiv in aller Welt bekanntgegeben wird, haben noch einen strategischen Wert (siehe Atomwaffen). Geheime Waffen werden entwickelt, um eingesetzt zu werden, auch von den Machthabern jenseits des Atlantiks. Das sind NICHT "die Guten", die gibt es sowieso nur in Kindergeschichten.