Auch fast zwei Wochen nach einem Ransomware-Befall sind viele Computersysteme der US-Stadt Baltimore noch immer offline. Ergänzung: Google setzt Baltimore jetzt ihre behördlichen Gmail-Konten zurück.
Angriff am 7. Mai 2019
Ich hatte es hier im Blog aus Zeitgründen nicht thematisiert. Vor fast zwei Wochen hat es einen Cyberangriff auf die Rechnersysteme und Netzwerke der Stadt Baltimore gegeben.
#BCRPALERT: BCRP is experiencing network and email outages. We apologize for the delay in all communications and are working to solve the problem. Please know our online payment, permit, program registration and service requests are currently effected. pic.twitter.com/vzXYnEqi7M
— Baltimore Rec & Parks (@RecNParks) 7. Mai 2019
In einer Info der Stadt war nur davon die Rede, dass E-Mail-Systeme und das Netzwerk ausgefallen wären. Die Systeme wurden durch eine RobinHood-Ransomware befallen, wie Arstechnica hier berichtete. Die IT-Verantwortlichen haben dann die IT-Systeme und Netzwerke heruntergefahren.
Lester Davis, ein Sprecher des Büros des Bürgermeisters von Baltimore, sagte dem Ian Duncan von Baltimore Sun, dass der Angriff ähnlich war wie jener war, der die Stadt Greenville, North Carolina, im April 2019 traf.
RobinHood-Ransomware
Der Befall durch die sehr aggressive RobbinHood-Ransomware, die im vergangenen Monat entstanden sein dürfte, wurde dann von Frank Johnson, Chief Information Officer von Baltimore, bestätigt. Der Sicherheitsforscher Vitali Kremez, konnte kürzlich eine Kopie der RobbinHood-Ransomeware analysieren. Gegenüber Arstechnica sagte Kremez, dass die Malware offenbar nur Dateien auf einem einzigen Rechner angreift und sich nicht über Netzwerkfreigaben verbreitet. „Es wird angenommen, dass es über psexec und/oder kompromittierte Domänencontroller direkt auf die einzelnen Maschinen verbreitet wird“, sagte Kremez. „Der Grund dafür ist, dass die Ransomware selbst keine Funktion zur Verbreitung in einem Netzwerk aufweist.“
Die Probleme halten an
Momentan scheint es die Verwaltung von Baltimore ziemlich zu beuteln, denn Arstechnica berichtet hier, dass immer noch viele Systeme offline seien. Es kann noch Wochen dauern, bis die Dienste der Stadt wieder so funktionieren, wie es einem ‘normalen manuellen Arbeitsablauf’ entspricht. Also faktisch ein Notbetrieb. Die Wasserabrechnung und andere Zahlungssysteme der Stadt bleiben offline, ebenso wie der Großteil des E-Mail-Verkehrs der Stadt und ein Großteil der Telefonanlagen der Stadtverwaltung.
Der Ransomware-Angriff traf die Stadtverwaltung in einer Phase des Übergangs im Rathaus. Bürgermeister Bernard C. „Jack“ Young trat sein Amt offiziell nur wenige Tage vor dem Angriff an. Die Vorgängerin, Catherine Pugh, musste als Bürgermeisterin zurücktreten und sieht sich einer Korruptionsuntersuchung gegenüber. Auch einige der kritischen Stabsstellen des Bürgermeisters blieben unbesetzt – Sheryl Goldstein, der stellvertretende Stabschef des Bürgermeisters, gerade mit seiner Arbeit.
Baltimore hat keine Versicherung, um die Kosten für einen Cyberangriff zu decken. Die Kosten für die Bereinigung der Systeme von der RobbinHood-Ransomware, werden die von den Ransomware-Betreibern geforderten ca. 70.000 Dollar bei weitem übersteigen. Die Kosten werden also vollständig von den Bürgern Baltimores getragen.
Der Informationssicherheitsmanager von Baltimore mahnte bei den Haushaltsanhörungen im vergangenen Jahr, eine Richtlinie, wie bei Cyberangriffen zu verfahren sei, zu erlassen und Mittel bereitzustellen. Aber der endgültige Haushalt enthielt keine Mittel für diesen Bereich und beinhaltete auch keinen Finanzrahmen für eine erweiterte Sicherheitsausbildung für städtische Angestellte oder andere strategische Investitionen, die Teil des strategischen Plans des Bürgermeisters für die Informationstechnologie-Infrastruktur der Stadt waren.
Aktuell können die Verantwortlichen nicht angeben, wann die IT-Systeme der Stadtverwaltung wieder in einem Zustand sind, dass die Verwaltung wieder arbeiten kann.
Google kickt GMail-Konten raus
Ergänzung: Ich habe zum 24.5.2019 die Meldung gelesen, dass Google jetzt damit begonnen hat, die Gmail-Konten der Stadt Baltimore zurückzusetzen und wieder zu aktivieren. Habe ich erst nicht verstanden, da der Artikel einer Agentur in Baltimore für mich gesperrt war (IP-Sperre für Zugriffe aus Europa). The Verge hat es aber hier aufgeklärt.
- Nach der Ransomware-Attacke ist auch das E-Mail-System der städtischen Behörden außer Betrieb.
- Irgend ein Cleverle kam auf die Idee ’nehmen wir doch Google Gmail als Ersatz‘.
- Dann haben sehr viele städtische Angestellte Gmail-Konten eingerichtet.
- Da aber auch Behörden kommerzielle Nutzer sind und für Google-Dienste zahlen müssen, wurden die neuen Gmail-Konten automatisch wieder deaktiviert.
Verantwortlich dafür war eine Google-Software, die das überwacht. Nun beginnt Google damit, die gesperrten Gmail-Konten wieder freizugeben, damit die städtischen Angestellten in Baltimore untereinander wieder dienstlich kommunizieren können.
„…Die Vorgängerin, Catherine Pugh, musste als Bürgermeisterin zurücktreten und sieht sich einer Korruptionsuntersuchung gegenüber…“
Da kommt der Angriff ja gerade Rechtzeitig, damit Beweismittel verschwinden :-)
Der Anschein spricht für seit länger währendem Politfilz. Dann werden die Kosten zur Beseitigung der Probleme wohl geschönt beziffert, um nicht den Unmut der Bürger zu riskieren