Baltimore-Ransomware
Der Ransomware-Angriff auf Baltimore im Mai 2019 hat Unternehmen, Behörden und öffentliche Dienste in großem Umfang betroffen und die Stadt auf den Kopf gestellt. Die Behebung des entstandenen Schadens belief sich auf bis zu 18 Millionen Dollar. Wir werden untersuchen, wie es zu dem Ransomware-Angriff auf Baltimore kam, welche Folgen er hatte und was Unternehmen aus diesen Vorfällen lernen können, um sich vor Ransomware zu schützen.
Schützen Sie Ihr Unternehmen vor Ransomware mit Avast Business Server Antivirus
Wann ist der Angriff auf Baltimore erfolgt?
Der Ransomware-Angriff auf Baltimore ereignete sich am 7. Mai 2019, in einer für die Stadt ohnehin schon turbulenten Zeit. Die ehemalige Bürgermeisterin von Baltimore, Catherine Pugh, war gerade am 2. Mai nach einem Skandal, einer Anklage und anschließender Inhaftierung von ihrem Amt zurückgetreten – ihr Nachfolger, Bernard C. Young, übernahm das Amt am 9. Mai. Hacker griffen die digitale Infrastruktur der Stadt zu einer Zeit an, in der die Prioritäten der Stadt im Bereich der Cybersicherheit in den Hintergrund gerückt waren. Der Angriff dauerte mehr als zwei Wochen.
Beim Vorfall im Jahr 2019 war die Stadt zum zweiten Mal Opfer eines Datenlecks geworden. Im März 2018 legte ein Ransomware-Angriff die Notfallsysteme der Stadt für mehr als 12 Stunden lahm, und am 25. November 2020 traf ein dritter Ransomware-Angriff die Baltimore County Public School, von dem über 170 Schulen, zahlreiche Bildungssysteme und bis zu 115.000 Schüler betroffen waren.
Wie kam es zu dem Ransomware-Angriff in Baltimore?
Am 7. Mai 2019 twitterte das Baltimore Department of Public Works, dass seine E-Mail-Dienste nicht verfügbar seien. Der Ausfall weitete sich anschließend auf die Telefonleitungen aus. Daraufhin kam es in der ganzen Stadt zu einem Dominoeffekt, bei dem bis zu 10.000 Regierungssysteme, darunter auch die Systeme des Verkehrsministeriums, unzugänglich wurden.
Es war ein versuchter Cyberangriff auf die Notrufleitungen, ähnlich dem erfolgreichen Ransomware-Angriff auf die Stadt im Jahr 2018, der Misstrauen erregte. Beamte der Stadt konnten in Zusammenarbeit mit dem FBI feststellen, dass die Stadt Opfer eines RobbinHood-Ransomware-Angriffs geworden war.
Die böswilligen Hacker nutzten RobbinHood, um Regierungsbeamte von allen Betriebssystemen auszusperren, alle Daten als Geiseln zu nehmen und alle Systeme und Anwendungen unzugänglich zu machen. Zwei Tage nach dem ersten Angriff veröffentlichten die Hacker eine Lösegeldforderung, die sich an den neuen Bürgermeister richtete. Darin wurden drei Bitcoin pro gesperrtem System oder 13 Bitcoin (bis zu 76.000 Dollar) für alle Systeme gefordert, um den Zugang wiederherzustellen. In der Forderung hieß es weiter, dass sich das Lösegeld ab dem 11. Mai jeden Tag um 10.000 Dollar erhöhen würde, wenn keine Zahlung geleistet würde, und dass alle kompromittierten Daten dauerhaft gelöscht werden würden.
Was ist RobbinHood?
Robbinhood ist eine raffinierte Art von Ransomware, die ausgefeiltere Methoden von fortgeschrittener Ransomware wie Ryuk, Locky und Petya Ransomware nachahmt, indem sie über gehackte Remote Desktop Protokolle (RDPs) eindringt. Auf diese Weise können Hacker die Verbindung zwischen Ihrer zugehörigen Hardware und Ihrem Netzwerk unterbrechen, Ihre Cybersicherheitsmaßnahmen (sowie jegliche Wiederherstellungssoftware) ausschalten und den Zugriff auf alle Dateien und Ordner durch Verschlüsselung beschränken. Dies macht eine mögliche Wiederherstellung vertraulicher Daten unmöglich, es sei denn, es wird ein Lösegeld im Austausch für einen Entschlüsselungsschlüssel gezahlt.
Wie hat die Stadt reagiert?
Als Bürgermeister Young darüber informiert wurde, dass die Stadt Opfer eines Angriffs geworden war, gab er eine offizielle Erklärung ab. Darin hob er hervor, dass eine beträchtliche Anzahl der städtischen Dienste vorübergehend durch manuelle Prozesse ersetzt worden war und dass viele Behördendienste nicht verfügbar waren, wie das Kartenzahlungssystem der Stadt, mit dem die Bürger Grundsteuern und Parkgebühren bezahlen können. Er erklärte jedoch auch, dass die Stadt mit dem FBI und Technologieexperten wie Microsoft zusammenarbeite, um alle Systeme wieder zum Laufen zu bringen. Er räumte ein, dass die Behebung des Problems Wochen oder sogar Monate dauern könnte, da mehrere Systeme neu aufgebaut werden müssten.
Zwei Wochen lang konnten die Mitarbeiter der Stadt nicht auf ihr E-Mail-System zugreifen. Sie richteten daher Gmail-Konten ein, um den Auswirkungen entgegenzuwirken und es den Bürgern zu ermöglichen, wichtige Dienstleistungen, wie Wasserrechnungen, zu bezahlen. Unglücklicherweise alarmierte die Erstellung von Massenkonten die Spam-Systeme von Google und führte dazu, dass auch diese Konten blockiert wurden. Doch nachdem Google benachrichtigt wurde, wurden diese Konten wieder freigegeben.
Die Nationale Sicherheitsbehörde (NSA) wurde von vielen für den Ransomware-Angriff verantwortlich gemacht, da man glaubte, dass die Hacker das Exploit-Tool EternalBlue (das zuvor von der NSA entwickelt wurde) verwendet hatten, um in Windows-Systeme einzudringen. Das Tool wurde im April 2017 von den Shadow Brokers gestohlen und geleakt. Es wurde zu einem beliebten Werkzeug für neue und sich entwickelnde Ransomware und wurde daher als Zugangspunkt für den Angriff angenommen.
Rob Joyce, Senior Advisor to the Director for Cybersecurity Strategy bei der National Security Agency (NSA), antwortete, dass der Fokus auf EternalBlue „kurzsichtig“ sei – Microsoft habe Patches zur Bekämpfung von EternalBlue verschickt und Baltimore habe über zwei Jahre Zeit gehabt, diese und andere Schwachstellen in seiner IT-Infrastruktur zu beheben. Bei der weiteren Untersuchung des Angriffs stellte der Malware-Analyst Joe Stewart fest, dass der Code der Ransomware keine Spuren des EternalBlue-Exploits enthielt, dass er aber bei der Verbreitung der Malware hilfreich gewesen sein könnte.
Hat Baltimore County das Lösegeld gezahlt?
Obwohl der Druck auf Baltimore County zunahm, weil die Hacker sensible Daten von Mitarbeitern der Stadt veröffentlichten und mit der Veröffentlichung weiterer Informationen drohten, wurde das Lösegeld nicht gezahlt. Die meisten Betriebssysteme der Stadt liefen Mitte Juni wieder, und mehrere Systeme, wie die für elektronische Genehmigungen, Immobilien und Mitarbeiterkonten, waren Ende des Monats wieder voll funktionsfähig.
Als Reaktion auf die öffentliche Kritik und die Forderung nach der Zahlung des Lösegelds veröffentlichte Bürgermeister Young eine Videoerklärung auf Twitter. Er erklärte:
„Erstens haben uns sowohl der Secret Service als auch das FBI geraten, das Lösegeld nicht zu zahlen. Zweitens ist das einfach nicht unsere Handlungsweise. Wir werden kriminelles Verhalten nicht belohnen. Wenn wir das Lösegeld bezahlt hätten, gäbe es keine Gewähr, dass sie unser System freischalten könnten oder würden.“
„Es gibt keine Möglichkeit, die Zahlung zu verfolgen oder gar zu bestätigen, an wen wir das Geld zahlen. Aufgrund der Art und Weise, wie sie die Zahlung angefordert haben, können wir nicht wissen, ob sie weitere Malware auf unserem System hinterlassen, um uns in Zukunft wieder Lösegeld zu entziehen. Letztendlich müssten wir immer noch alle Schritte unternehmen, die wir unternommen haben, um eine sichere Umgebung zu gewährleisten. Ich bin zuversichtlich, dass wir die beste Vorgehensweise gewählt haben.“
Die stellvertretende Stabschefin des Bürgermeisters für Operationen, Sheryl Goldstein, gab weitere Kommentare ab:
„Die Ermittlungsbehörden haben uns geraten, das Lösegeld nicht zu zahlen. Die Daten zeigen, dass die Chancen, die Daten zurückzubekommen, bei weniger als 50:50 liegen, wenn das Lösegeld gezahlt wird. Und selbst wenn das Lösegeld gezahlt wird, muss man immer noch in das System einsteigen und sicherstellen, dass die Malware nicht mehr darin ist. Man kann nicht einfach die Daten wiederherstellen und annehmen, dass die Malware verschwunden sind, sodass wir einen Großteil der Kosten in jedem Fall tragen müssten.“
Was waren die Konsequenzen des Ransomware-Angriffs auf Baltimore?
Der Ransomware-Angriff auf die Stadt Baltimore im Jahr 2019 dauerte etwa einen Monat und kostete bis zu 18,2 Millionen Dollar für die Behebung der Serviceunterbrechungen, einschließlich der Wiederherstellung, neuer Hardware und entgangener oder verschobener Einnahmen. 35 % der über 10.000 städtischen Angestellten konnten in dieser Zeit wieder auf ihre Konten zugreifen – in den folgenden Monaten waren es bis zu 95 %.
Ähnlich wie der Ransomware-Angriff auf Atlanta im Jahr 2018 betraf der Ransomware-Angriff auf Baltimore Regierungsabteilungen, Versorgungsunternehmen und Parkdienste, die alle manuell bearbeitet werden mussten.
Im Gegensatz zum Ransomware-Angriff auf den NHS im Vereinigten Königreich, bei dem geschäftskritische Dienste erheblich beeinträchtigt wurden, waren die Notaufnahmen in Baltimore nicht direkt von dem RobbinHood-Angriff betroffen und blieben in Betrieb. Allerdings hatte der Angriff Auswirkungen auf den Immobilienmarkt der Stadt Baltimore, da die Mitarbeiter bis Ende Juni keine Immobilienverkäufe abschließen konnten.
Als zweiter Ransomware-Angriff auf Baltimore innerhalb von etwa 15 Monaten geriet die Stadt unter Beschuss, hat aber inzwischen Präventivmaßnahmen ergriffen, um sicherzustellen, dass es nicht zu einem weiteren Angriff kommt. Dazu gehört die Einrichtung eines neuen Ausschusses für Cybersicherheit unter der Leitung von Stadtratspräsident Brandon Scott. Der Ausschuss arbeitete an einer gründlichen Überprüfung der Schwachstellen der Stadt und der Reaktion auf den Angriff, um neue Richtlinien, Praktiken und Technologien zur Entwicklung einer robusten IT-Infrastruktur einzuführen.
Angriff auf Baltimore County Public Schools 2020
Baltimore County Public Schools wurde am 24. November 2020, zwei Tage vor Thanksgiving, Opfer eines dritten Ransomware-Angriffs auf die Stadt. Trotz der beiden vorangegangenen, viel beachteten Ransomware-Ereignisse in der Stadt waren die Maßnahmen zum Schutz der riesigen Mengen an sensiblen Daten unzureichend. Alle vertraulichen Daten und die dazugehörigen Schulsysteme wurden verschlüsselt, was sich auf „jeden Aspekt des Baltimore County Public School Systems“ auswirkte.
Obwohl es Backups der vorhandenen Daten gab, wurden die Kosten für die Wiederherstellung auf über 8 Millionen Dollar geschätzt. Über 9.000 Laptops von Mitarbeitern wurden nach dem Angriff neu aufgesetzt (die Festplatten wurden gelöscht und neue Betriebssysteme installiert), ebenso wie die Geräte der Schüler. Einige Daten oder Unterrichtspläne gingen für immer verloren, und das Schulnetzwerk musste komplett neu aufgebaut werden.
Das Ereignis führte zu weitreichenden Unterbrechungen der Fernlernmöglichkeiten von bis zu 115.000 Schülern, die zu diesem Zeitpunkt aufgrund der COVID-19-Pandemie unerlässlich waren. Die langfristige Umstellung auf Fern- und Hybridarbeit hat zu einer steigenden Anzahl von Endpunkten geführt, was zusätzliche Risiken für die Cybersicherheit mit sich bringt.
Es ist zwar unbestätigt, ob ein Lösegeld gezahlt wurde, aber die Baltimore County Public Schools haben sich folgende Maßnahmen vorgenommen:
- Wiederaufbau und Verstärkung der IT-Infrastruktur
- Einführung neuer Prozesse, wie die Multi-Faktor-Authentifizierung (MFA) für alle Mitarbeiter
- Installation von Firewalls der nächsten Generation und verbessertem Geräteschutz
Die Präsidentin der Lehrervereinigung von Baltimore County, Cindy Sexton, wies jedoch 2021 darauf hin, dass die Unterbrechung bei bestimmten Systemen, einschließlich der Gehaltsabrechnungssysteme der Institution, nicht behoben wurde – viele Mitarbeiter wurden über- oder unterbezahlt oder erhielten rückwirkende Zahlungen.
Was kann man aus den Ransomware-Angriffen auf Baltimore lernen?
Obwohl das geforderte Lösegeld weitaus geringer war als die Kosten, die zur Bewältigung des Cyberangriffs aufgewendet werden mussten, hob Bürgermeister Young kurz und bündig mehrere Gründe hervor, warum kein Lösegeld gezahlt werden sollte:
- Hacker sollten nicht für kriminelles Verhalten belohnt werden, da dies die Stadt für weitere Ransomware-Angriffe in der Zukunft öffnen könnte
- Es gibt keine Gewähr dafür, dass Ihre Systeme und die damit verbundenen Daten bei Zahlung des Lösegelds wieder freigeschaltet werden
Die Ransomware-Angriffe auf Baltimore verdeutlichen die Gefahren veralteter Sicherheitssoftware und IT-Praktiken. Die Beseitigung von Ransomware kann Ihr Unternehmen Tausende oder sogar Millionen kosten, ganz zu schweigen von der Rufschädigung. Es ist daher unerlässlich, proaktiv Maßnahmen zu ergreifen, um Ihre Cybersicherheitsprozesse zu aktualisieren, einschließlich:
- Installation eines robusten Antivirus mit integrierten Ransomware-Schutztools
- Erstellung regelmäßiger Backups
- Entwicklung eines Geschäftskontinuitätsplans
- Schulung der Mitarbeiter in den Grundlagen der Cybersicherheit
Lassen Sie Avast Ihr Unternehmen vor Ransomware schützen
Ergreifen Sie wichtige Sicherheitsmaßnahmen, um Ihr Unternehmen vor der Bedrohung durch Ransomware-Angriffe zu verteidigen und zu schützen. Investieren Sie in eine Antivirus-Software für Unternehmen, die Windows-Server schützt, Sicherheitslücken schließt und bösartige Aktivitäten in Ihren Netzwerken erkennt und verhindert.
© 2024 Gen Digital Inc.