Seit dem 07. Mai 2019 hat die Stadt Baltimore (ca. 600.000 Einwohner) im US-Bundesstaat Maryland keine funktionierende Stadtverwaltung mehr. An diesem Tag legte eine Ransomware-Attacke die Stadtverwaltung fast völlig lahm. Seitdem können keine Einnahmen verbucht oder erhoben, Rechnungen nicht mehr bezahlt werden und Bürger können keine Immobilientransaktionen mehr durchführen. Die Situation ist so desolat, dass manche Vorgänge sogar auf manuelle Arbeitsweisen umgestellt werden. Davon betroffen sind auch die E-Mailserver der Stadtverwaltung und fast alle Telefonanlagen. Ein Ende ist für Baltimore aber immer noch nicht in Sicht.

Neben diesem Desaster ist Baltimore noch durch eine anhaltende und unaufgeklärte Korruptionsaffäre sowie dem Personalumbau an wichtigen Stellen in der Stadtverwaltung belastet. Alles keine guten Voraussetzungen für schnelle und effektive Lösung des Problems. Und das erklärt vielleicht auch, weshalb im Vorfeld der Attacke niemand ein Ohr hatte für die Warnung des IT-Sicherheitschefs der Stadtverwaltung. Dieser hatte schon lange vor dem heftigen Cyberangriff im März auf die Stadt Atlanta gebeten, das Haushaltsbudget für Sicherheitsverbesserungen zu erhöhen. Doch dafür war dann kein Geld mehr übrig gewesen. Auch nicht für den Abschluss einer Cyberschutzversicherung. Nun müssen die Bürger den Preis dieser falschen Planung doppelt bezahlen. Zum einen mit einem nicht funktionierenden Verwaltungssystem und zum anderen mit den ihnen aufgebürdeten Wiederherstellungskosten.

Wie es scheint, werden diese um ein Vielfaches höher sein als die Summe, die die Erpresser von der Stadt verlangt hatten. Eine, diese kostenverhindernde Zahlung der geforderten Summe an die Angreifer, lehnte die Stadt ab. Die Argumentation dagegen war, dass es nicht bei der Zahlung bleiben würde. Überprüfung und Wiederherstellung kommen nicht kostenlos.

Wie antiquiert die Stadt Baltimore IT-mäßig aufgestellt ist, zeigt sich daran, dass das E-Mail-System noch auf veralteten Windows 2012 Servern lief und nur die Rechtsabteilung einen Clouddienst dafür nutzte. Allerdings sind selbst auf die Cloud ausgelagerte Systeme gefährdet, denn Baltimore kann die Dienstleistungen aus technischen Gründen nicht bezahlen. Die Stadtverwaltung und die Bürger werden noch eine Weile an den schätzungsweise 10 Mio. US-Dollar zu knabbern habe, die dieser Vorfall sie mindestens kosten wird.

Angriffspunkt der Ransomware

Wo die Hacker sich Zugriff in Baltimore verschafften, geht nach den ersten Untersuchungen noch nicht genau hervor. Ein Ansatzpunkt sei aber, dass der E-Mail-Dienst seinerzeit plötzlich unterbrochen wurde. Die Stadtwerke bemerkten dies als erstes und meldeten es sogleich. Danach gingen die IP-basierten Telefonanlagen und andere Systeme in die Knie. Die IT-Abteilung der Stadt schaltete daraufhin fast alles, außer den Notfallmeldesystemen ab, um eine weitere Ausbreitung des Angriffs zu verhindern.

Herauszufinden, wie und wo die Malware infiltriert wurde, ist eine riesige Aufgabe für die eingesetzte Untersuchungskommission. Das Stadtnetzwerk besteht aus 113 Subdomains, wovon ein Viertel intern gehostet werden und es gibt mindestens 256 öffentlichen IP-Adressen. Insgesamt bewegen sich etwa 10.000 Nutzer im gesamten Netzwerk. Auch wer genau hinter dem Angriff steckt, war bis Ende Mai noch nicht bekannt. Der amtierende Bürgermeister konnte nicht klar sagen, ob die Stadtverwaltung über Backups verfügte oder ob es einen Notfallplan für solche Vorfälle gibt.

Atlanta und Baltimore längst keine Einzelfälle mehr

Erst Atlanta 2018 und dieses Jahr noch Baltimore und dann ging es weiter wie eine Epidemie. Im April zielten Ransomware-Angriffe auf E-Mail-Server und Gepäcksysteme am Cleveland Hopkins International Airport. Danach auf das First Judicial District der Gerichte in Philadelphia. Bis Mai wurden Angriffe auf die IT-Systeme oder Netzwerke von mehr als sechs amerikanischen Städten bekannt. In regelmäßigen Abständen werden weitere Opfer veröffentlicht. Experten gehen von einer viel höheren Dunkelziffer aus mit Opfern aus anderen Wirtschaftsbereichen.

Die Angriffe auf öffentliche Ziele ließen sich nicht so leicht verheimlichen, da Bürger sehr schnell bemerken, wenn die Stadtverwaltung nicht mehr erreichbar ist. Anziehend auf die Angreifer könnte auch sein, so einige Expertenmeinungen, dass sie erkennen wie Stadtverwaltungen Lösegeldzahlungen nachkommen. Auch angesichts der bekanntlich knappen IT-Budgets, sind sie leichte Opfer.

Die Sicherheitsexperten können auch noch nicht sagen, ob immer dieselben Angreifer dahinterstecken oder welche Malware verwendet wird. Was sie mit Bestimmtheit sagen können, ist, dass sie einen wachsenden Trend beobachten können. Allerdings seien die Daten noch nicht umfassend ausgewertet, sodass keine Rückschlüsse auf Schwerpunkte gezogen werden könnten.

Nach Einschätzung der Experten werden Angreifer einfach jede Technik, die erfolgversprechend ist, zur Gewinnmaximierung nutzen. David Kennedy, CEO der Beratungsfirma TrustedSec bestätigte:

„Wir arbeiten derzeit an der Aufarbeitung von sieben aufeinander folgenden Ransomware-Angriffen – sie betreffen einige Herstellungsbetriebe, ein paar Kreditgenossenschaften und eine lokale Regierungsstelle.“

Öffentlich bekannt sind außerdem ein Angriff im Bundesstaat Georgia und drei weitere Angriffe in Florida.

Das Verwaltungsbüro des Gerichts des Bundesstaates Georgia gab im Juni bekannt, dass seine Webseite mit Ransomware durch die Ryuk Ransomware infiziert worden waren. Aus Sicherheitsgründen wurden hier alle verbundenen Netzwerke abgeschaltet. Im Bundesstaat Florida wurden drei gleichartige Vorfälle gemeldet, bei der dieselbe Ransomware eingesetzt wurde. Lake City zahlte 500.000 US-Dollar und Riviera City umgerechnet 600.000 US-Dollar Lösegeld. Key Biscane war die dritte Stadt im Bunde.

Ganz offensichtlich sind Ransomware-Angriffe immer extrem lukrativ für Angreifer. Von der GandCrab Gruppe ist beispielsweise bekannt, dass sie eine „Ransomware as a Service“-Plattform betreibt. Die war letztendlich so überaus erfolgreich, dass die Betreiber sich zurückzogen und die Plattform dicht machten. „Wir gehen in einen wohlverdienten Ruhestand“, ließen sie in einem Forumsbeitrag verlauten.

SANS Experte William Murray bringt den Erfolg dieser Angriffsmasche auf den Punkt:

„Die Schwachstelle, die von allen Ransomware-Produkten ausgenutzt wird, ist der standardmäßige Lese- und Schreibzugriff. Angesichts dessen haben wir Glück, dass wir nicht mehr irreführende Änderungen an den betroffenen Daten sehen, als nur die Zugangsverweigerung.“

Murray erachtet es daher als wichtig, auf

„eine neue Voreinstellung umzusteigen, die lautet: nur lesen/ausführen. Vor vierzig Jahren hatten wir erwartet, dass dies die Standardeinstellung sein sollte. Jedoch aber gewann der Komfort zu Lasten der Sicherheit.“

Murray ergänzt,

„da diese Richtlinienänderung aber nicht allen Datenänderungen widerstehen wird, müssen wir weiterhin über starke Authentifizierung, Prozess-zu-Prozess-Isolierung, zuverlässige Zugriffskontrolle und Backups mit schneller Wiederherstellung nachdenken. Schließlich muss die Planung der Gefährdungen, Früherkennung und Behebung nun eine kontinuierliche Tätigkeit mit häufigen Tests sein.“

Artikel von arstechnica.com, 20.05.2019: Baltimore ransomware nightmare could last weeks more, with big consequences
Artikel von govtech.com, 17.05.2019: Special Committee to Form Following Baltimore Cyberattack
Artikel von arstechnica.com, 01.07.2019: Ryuk, Ryuk, Ryuk: Georgia’s courts hit by ransomware
Artikel von wired.com, 01.07.2019: Ransomware Hits Georgia Courts as Municipal Attacks Spread
Artikel von zdnet.com, 01.07.2019: Florida city fires IT employee after paying ransom demand last week
Artikel von arstechnica.com,05.06.2019: Baltimore’s bill for ransomware: Over $18 million, so far

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0