Ransomware Baltimore
Tijdens een ransomwareaanval op de Amerikaanse stad Baltimore in mei 2019 werden bedrijven, overheidsinstellingen en publieke voorzieningen in de hele stad lamgelegd, met grote gevolgen voor de stad. Uiteindelijk kostte het 18 miljoen dollar om de aangerichte schade te herstellen. We besteden aandacht aan het verloop van ransomwareaanval, de gevolgen ervan en de lessen die bedrijven uit deze incidenten kunnen trekken om zich tegen ransomware te beschermen.
Bescherm uw bedrijf tegen ransomware met Avast Business Server Antivirus
Wanneer vond de aanval op Baltimore plaats?
De ransomwareaanval op de Amerikaanse stad Baltimore vond plaats op 7 mei 2019, toen de stad toch al een moeilijke tijd doormaakte. De voormalige burgemeester van Baltimore, Catherine Pugh, had enkele dagen daarvoor, op 2 mei, haar functie neergelegd naar aanleiding van een schandaal, strafrechtelijke vervolging en een daaropvolgende gevangenisstraf. Op 9 mei nam haar opvolger Bernard C. Young het roer van haar over. Hackers vielen de digitale infrastructuur van de stad aan juist toen de cyberbeveiliging van de stad minder prioriteit had. De aanval duurde meer dan twee weken.
Overigens was het in 2019 de tweede keer dat de stad het slachtoffer van een gegevensinbreuk werd. Zo waren de noodsystemen van de stad in maart 2018 meer dan 12 uur lang buiten werking, en op 25 november 2020 werd de openbare scholen in Baltimore County het slachtoffer van een derde ransomwareaanval, die meer dan 170 scholen, tal van onderwijssystemen en maar liefst 115.000 leerlingen trof.
Hoe ging de ransomwareaanval op Baltimore in zijn werk?
Op 7 mei 2019 verstuurde de dienst Publieke Werken van Baltimore een tweet dat de e-maildiensten buiten werking waren. De storing breidde zich vervolgens uit naar de telefoonlijnen. In aansluiting daarop voltrok zich een waar domino-effect door de hele stad. Daarbij vielen 10.000 overheidssystemen uit, waaronder dat van de dienst Vervoer.
Een cyberaanval op de noodnummers deed argwaan rijzen, want deze leek sterk op de geslaagde ransomwareaanval die de stad in 2018 trof. De ambtenaren van de stad stelden toen in nauwe samenwerking met de FBI vast dat de stad het slachtoffer was geworden van een ransomwareaanval met RobbinHood.
De hackers slaagden er met behulp van RobbinHood in om alle besturingssystemen te vergrendelen, alle gegevens te gijzelen en alle systemen en programma’s ontoegankelijk te maken voor de ambtenaren. Twee dagen na de eerste aanval stuurden de hackers de nieuwe burgemeester een losgeldverzoek, waarin ze drie bitcoin per vergrendeld systeem eisten, of 13 bitcoin (zo’n 76.000 dollar) om alle systemen opnieuw toegankelijk te maken. Verder stond er in het verzoek dat, als er niet betaald zou worden, het losgeld vanaf 11 mei dagelijks met 10.000 dollar zou stijgen en dat alle gegijzelde gegevens in kwestie voorgoed verwijderd zouden worden.
Wat is RobbinHood?
RobbinHood is een geraffineerde ransomwarevariant die qua werkwijze veel weg heeft van nóg complexere vormen van ransomware als Ryuk, Locky en Petya, waarbij het Remote Desktop Protocol werd gekraakt om systemen binnen te dringen. Zo kunnen hackers de verbinding tussen uw aangesloten hardware en het netwerk verbreken, uw cyberbeveiligingssystemen (plus herstelsoftware) elimineren en de toegang tot alle bestanden en mappen beperken door middel van versleuteling. Hierdoor kunnen vertrouwelijke gegevens alleen worden hersteld als er losgeld wordt betaald voor een decryptiesleutel.
Hoe reageerde de stad?
Toen burgemeester Young op de hoogte werd gebracht dat de stad het slachtoffer was geworden van een aanval, stuurde hij een officiële mededeling de wereld in met de boodschap dat een groot aantal van de stadsdiensten tijdelijk zou worden vervangen door handmatige procedures, en dat veel overheidsdiensten ontoegankelijk waren, zoals het betaalkaartsysteem waarmee burgers eigendomsbelastingen en parkeerkosten konden voldoen. In diezelfde mededeling verklaarde hij echter dat de stad er samen met de FBI en technologie-experts als Microsoft alles aan deed om de systemen weer in de lucht te krijgen. Hij erkende dat dit enkele weken of zelfs maanden kon duren, want tal van systemen moesten van de grond af worden gereconstrueerd.
De ambtenaren van de stad konden twee weken lang niet bij hun e-mail. Om de gevolgen zoveel mogelijk binnen de perken te houden en burgers in de gelegenheid te stellen om essentiële diensten als de waterrekening te betalen, werd besloten Gmail-accounts in te stellen. Dat leidde er in eerste instantie toe dat de spamsystemen van Google werden geactiveerd, waarop ook deze accounts weer werden geblokkeerd, totdat Google van een en ander op de hoogte werd gesteld en de accounts werden vrijgegeven.
Algemeen werd aangenomen dat de Amerikaanse inlichtingendienst NSA (National Security Agency) achter de ransomwareaanval zat en dat hackers de exploit-tool EternalBlue hadden gebruikt (enkele jaren eerder ontwikkeld door de NSA) om Windows-systemen binnen te dringen. In april 2017 werd de tool gestolen en gelekt door de hackersgroep Shadow Brokers. Vervolgens groeide deze uit tot een populaire tool voor het ontwikkelen van nieuwe ransomware, waardoor men ervan uitging dat deze het toegangspunt voor de aanval vormde.
Rob Joyce, senior adviseur cyberbeveiligingsstrategie bij de NSA, verklaarde daarop dat de aandacht voor EternalBlue getuigde van “kortzichtigheid”. Microsoft had immers patches uitgestuurd om EternalBlue te weren en Baltimore had ruim twee jaar de tijd gehad om deze en andere zwakke plekken in zijn IT-infrastructuur te verhelpen. Malwareanalist Joe Stewart, die de aanval verder onderzocht, stelde dat de programmacode van de ransomware geen enkel spoor van de exploit EternalBlue bevatte, maar dat het wel mogelijk was deze was gebruikt om de malware te helpen verspreiden.
Betaalde Baltimore County het losgeld?
Baltimore County betaalde ondanks alle druk geen losgeld. De hackers lekten bijvoorbeeld vertrouwelijke gegevens over stadsambtenaren en dreigden nog meer informatie openbaar te maken. Midden juni waren de meeste besturingssystemen van de stad weer in de lucht. Eind juni was dat ook het geval voor een groot aantal andere systemen (bv. elektronische vergunningen, vastgoed en werknemersaccounts).
Burgemeester Young reageerde in een videoboodschap op Twitter op de vele kritiek en oproepen van burgers om het losgeld te betalen. Hij zei daarin volgende:
“Eerst en vooral adviseerde zowel de geheime dienst als de FBI ons geen losgeld te betalen. Ten tweede past dat simpelweg niet bij onze manier van werken. Crimineel gedrag wordt door ons niet beloond. Als we het losgeld hadden betaald, was er geen enkele garantie dat ze ons systeem konden of wilden ontgrendelen.”
“De betaling kan onmogelijk getraceerd worden, we kunnen zelfs niet zeggen naar wie het geld gaat. Als gevolg van de voorgestelde transactie konden we onmogelijk weten of ze andere malware op ons systeem zouden achterlaten en ons in de toekomst opnieuw zouden gijzelen. Ten slotte hadden we ook in dat geval alle stappen moeten ondernemen die we nu hebben ondernomen om zeker te zijn van een veilige omgeving. Ik heb er alle vertrouwen in dat we de juiste procedure hebben gevolgd.”
Sheryl Goldstein, plaatsvervangend stafchef operationele zaken, voegde het volgende toe:
“De federale onderzoeksteams adviseerden ons om geen losgeld te betalen. Uit de gegevens blijkt dat je bij betaling van losgeld minder dan 50% kans hebt dat je je gegevens weer in bezit krijgt. Bovendien moet je ook bij betaling van het losgeld nog steeds in je systeem duiken om er zeker van te zijn dat alle malware verdwenen is. Je kunt je systemen niet gewoon opnieuw opstarten in de veronderstelling dat de malware weg is, dus sowieso hadden we een groot deel van deze kosten moeten betalen.”
Wat waren de gevolgen van de ransomwareaanval op Baltimore?
De ransomwareaanval op de stad Baltimore in 2019 duurde ongeveer een maand, en het kostte in totaal zo’n 18,2 miljoen dollar om alle storingen op te lossen, waaronder het volledig herstellen van de systemen, de aankoop van nieuwe hardware en het verlies of uitstel van inkomsten. 35% van de ruim 10.000 medewerkers van de stad kregen in die maand opnieuw toegang tot hun accounts, een aantal dat in de daaropvolgende maanden steeg tot 95%.
Net als bij de ransomwareaanval op Atlanta in 2018 werden ook bij de ransomwareaanval op Baltimore overheidsdiensten, nutsvoorzieningen en parkeerdiensten getroffen, en moesten al deze diensten een tijd lang handmatig worden uitgevoerd.
Anders dan bij de ransomwareaanval op het NHS in het Verenigd Koninkrijk, die grote hinder veroorzaakte voor kritieke diensten, bleven de nooddiensten van Baltimore bij de aanval met RobbinHood buiten schot en bleven ze gewoon werken. De vastgoedmarkt van de stad Baltimore ondervond daarentegen wel veel hinder en medewerkers konden tot eind juni geen vastgoeddeals meer sluiten.
Baltimore kwam zwaar onder vuur te liggen omdat dit al de tweede ransomwareaanval in ongeveer 15 maanden was. Sindsdien heeft de stad wel preventieve maatregelen getroffen om herhaling te voorkomen. Zo is er een nieuw cyberbeveiligingscomité opgericht dat wordt geleid door raadsvoorzitter Brandon Scott. Het comité hield alle kwetsbaarheden en de reactie van de stad op de aanval tegen het licht, om op die manier nieuwe beleidsregels, procedures en technologieën te ontwikkelen waarmee een robuuste IT-infrastructuur op poten kon worden gezet.
De aanval op de openbare scholen in Baltimore County in 2020
Op 24 november 2020 werden de openbare scholen in Baltimore County getroffen door een derde ransomwareaanval op de stad, twee dagen voor Thanksgiving. Ondanks twee eerdere ophefmakende ransomwareaanvallen bleken de maatregelen van de stad om de grote hoeveelheden vertrouwelijke gegevens te beschermen ontoereikend. Alle vertrouwelijke gegevens en bijbehorende schoolsystemen werden versleuteld, waardoor het hele systeem van de openbare scholen in Baltimore County” werd getroffen.
Hoewel er back-ups van bestaande gegevens voorhanden waren, worden de herstelkosten geschat op ruim 8 miljoen dollar. Na de aanval moesten meer dan 9000 laptops van ambtenaren volledig opnieuw worden geconfigureerd (de harde schijven werden gewist en er werden nieuwe besturingssystemen geïnstalleerd). Hetzelfde geldt voor de apparaten van de leerlingen. Sommige gegevens en lesprogramma’s bleken echter onherstelbaar, en ook het schoolnetwerk moest volledig opnieuw worden opgezet.
Als gevolg van de aanval konden ruim 115.000 leerlingen amper gebruikmaken van de mogelijkheden voor afstandsonderwijs, terwijl dit door het coronavirus op dat moment van het allergrootste belang was. Door de langetermijnovergang naar afstandsonderwijs en hybride lessen waren er heel wat eindpunten bijgekomen, met alle gevolgen van dien voor de cyberveiligheid.
Hoewel het niet duidelijk is of er losgeld werd betaald, zegden de openbare scholen in Baltimore County toe:
- Hun IT-infrastructuur opnieuw te configureren en te versterken
- Nieuwe processen in te voeren, zoals multifactorauthenticatie (MFA) voor alle medewerkers
- Moderne firewalls en geavanceerde apparaatbescherming te installeren
Toch merkte Cindy Sexton, voorzitter van de lerarenvereniging van Baltimore County, in 2021 op dat de storing voor bepaalde systemen nog steeds niet was opgelost. Dit gold onder meer voor de salarissystemen. Daardoor kregen veel personeelsleden te veel of juist te weinig loon of was er sprake van achterstallig loon.
Welke lessen kunnen we leren uit de ransomwareaanvallen op Baltimore?
Hoewel het verschuldigde losgeld een heel stuk lager lag dan de herstelkosten, legde burgemeester Young kort en bondig uit waarom er geen losgeld betaald mocht worden:
- Hackers mogen niet worden beloond voor crimineel gedrag, want dan zou de stad vatbaar blijven voor toekomstige ransomwareaanvallen.
- Er is geen garantie dat systemen en bijbehorende gegevens bij betaling van het losgeld ontgrendeld worden.
De ransomwareaanvallen op Baltimore onderstrepen de gevaren van verouderde beveiligingssoftware en IT-procedures. De herstelkosten na een ransomwareaanval kunnen in de duizenden of zelfs miljoenen lopen, om nog maar te zwijgen van de imagoschade. Het is van het allergrootste belang om uw cyberbeveiligingsprocessen te actualiseren, onder meer door:
- Installatie van robuuste antivirussoftware met ingebouwde beschermingstools tegen ransomware
- Uitvoering van regelmatige back-ups
- Opstelling van een bedrijfscontinuïteitsplan
- Opleiding van personeel in de basisbeginselen van cyberbeveiliging
Laat Avast uw bedrijf beschermen tegen ransomwareaanvallen
Tref essentiële beveiligingsmaatregelen om uw bedrijf te verdedigen en te beschermen tegen de dreiging van ransomwareaanvallen. Investeer in bedrijfsantivirussoftware waarmee u Windows-servers kunt beveiligen, kwetsbaarheden kunt patchen en verdachte activiteiten op uw netwerken kunt opsporen en voorkomen.
© 2024 Gen Digital Inc.