Cyberattacke auf Baltimore 2019 Am 7 Mai 2019 griffen unbekannte Erpresser die Computersysteme der Stadt Baltimore Maryl

Der Angriff begann am 7. Mai 2019 frühmorgens. Nach und nach fielen Systeme aus. Als die Verantwortlichen das Ausmaß des Angriffs erkannten, ließen sie die übrigen Systeme abschalten um die Schäden in Grenzen zu halten. Gegen 9 Uhr vormittags waren die meisten Computersysteme der Stadtverwaltung ausgefallen, viele Daten verschlüsselt.

Auf den Bildschirmen erschienen Forderungen, dass die Stadt innerhalb von drei Tagen 3 Bitcoin pro System oder 13 Bitcoin (zum Angriffszeitpunkt zirka 75.000 US-Dollar) für die gesamte Stadt zu zahlen habe, um den Schlüssel zur Wiederherstellung der Daten zu erhalten. Weiterhin drohten die Erpresser, dass das Lösegeld ab dem vierten Tag steigen werde, und ab dem zehnten Tag alle Daten der Stadt verloren sein werden.

Die Stadt engagierte Sicherheitsfirmen, um die Herrschaft über Systeme und Daten zurückzuerlangen. FBI und Secret Service ermittelten. Baltimore benötigte mehrere Wochen, um die Computersysteme wiederherzustellen. Am 12. Juni 2019 waren etwa 70 Prozent der Angestellten wieder online.

Die Stadt zahlte kein Lösegeld. Vielmehr stellte sie einen 10 Millionen US-Dollar Notfall-Fond bereit, um die Systeme wiederherzustellen und abzusichern.

Die Angestellten der Stadt (ungefähr 7000 PC-Nutzer) konnten nicht mehr auf ihre PC zugreifen, zahlreiche Bürgerservices wie beispielsweise Wasserabrechnungen fielen aus. Polizei und Verkehrsverwaltung kämpfte mit Problemen bei Mails und Telefonen. Grundstück- und Immobilienverkäufe ließen sich nicht abwickeln. Etwa 1500 Immobilienverkäufe verzögerten sich dadurch. Lediglich Polizei, Feuerwehr und Notrufsysteme funktionierten weiterhin.

Insgesamt entstand nach Schätzung der Stadt ein Schaden von 18,2 Millionen US-Dollar; etwa 10 Millionen US-Dollar für die Wiederherstellung und Absicherung der Systeme und 8,2 Millionen US-Dollar an Einnahmeausfällen.

Die Hacker verwendeten eine ziemlich neue Variante der Ransomware RobinHood, die wiederum die Sicherheitslücke EternalBlue in älteren Windows-Systemen ausnutzte. Die Ransomware wurde ursprünglich vom US-amerikanischen Auslandsgeheimdienst NSA entwickelt und mehrere Jahre lang für eigene Zwecke ausgenutzt. Die NSA meldete daher die EternalBlue-Lücke nicht an Microsoft bis man sich durch Enthüllungen der Hacker Gruppe Shadow Brokers in 2017 gezwungen sah, dies nachzuholen. Microsoft schloss die Lücke in den Windows-Systemen zwar umgehend, dies sicherte aber nur die Systeme, bei denen der Patch installiert wurde. In der Zwischenzeit wurde die Sicherheitslücke von mehreren Schadprogrammen für Attacken verwendet (neben RobinHood zum Beispiel Wannacry).

RobinHood verbreitet sich nicht über das Netzwerk; die Software muss vielmehr auf jedes einzelne System verteilt werden. Daher müssen die Angreifer schon vorher administrativen Zugriff auf eines der Systeme gehabt haben und die Spionagesoftware nach und nach weiter verteilt haben. Einmal auf einem System gestartet, beginnt die Software, die Daten zu verschlüsseln. Dafür muss schon vor dem Angriff ein öffentlicher RSA-Schlüssel auf die Systeme verteilt worden sein.

Baltimore wurde nach Angaben von Experten nicht gezielt ausgewählt. Vielmehr scannen solche Angreifer eine Vielzahl von Systemen, bis sie durch Zufall eine Sicherheitslücke finden.

Es wurden keine Namen oder Gruppierungen genannt, die hinter der Attacke stehen.

Die New York Times enthüllte, dass die Schadsoftware von der NSA mit amerikanischen Steuermitteln entwickelt wurde und dann – nachdem die Software der NSA entglitten war – für die Erpressung von amerikanischen Städten (vor Baltimore bereits Allentown (Pennsylvania),  Greenville (North Carolina) und San Antonio (Texas)) eingesetzt wurde. NSA und FBI lehnten jeden Kommentar dazu ab.

Zum Zeitpunkt der Angriffe war die IT-Infrastruktur in Baltimore und anderen amerikanischen Städten nicht auf aktuellem Stand. Die Verantwortlichen in Baltimore warnten bereits ein Jahr zuvor, jedoch wurden in den Budgets keine entsprechenden Mittel bereitgestellt.

Die Piratenpartei Deutschland warnte, dass solche Angriffe auf Städte und Infrastrukturbereiche auch in Europa möglich seien.

1. ↑ Sean Gallagher: „RobinHood“ ransomware takes down Baltimore City government networks. In: Ars Technica. 8. Mai 2019, abgerufen am 28. April 2020 (englisch). 
2. ↑ Niraj Chokshi: Hackers are holding Baltimore Hostage: How They Struck and What’s Next. In: New York Times. 22. Mai 2019, abgerufen am 28. April 2020 (englisch). 
3. ↑ Nicole Perlroth, Scott Shane: In Baltimore and Beyond, a Stolen N.S.A Tool Wreaks Havoc. In: New York Times. 25. Mai 2019, abgerufen am 28. April 2020 (englisch). 
4. ↑ Kai Biermann: NSA-Hackersoftware EternalBlue wird zum Bumerang. In: Zeit Online. 26. Mai 2019, abgerufen am 28. April 2020. 
5. ↑ Sean Gallagher: Baltimore ransomware nightmare could last weeks more, with big consequences. In: Ars Technica. 20. Mai 2019, abgerufen am 28. April 2020 (englisch). 
6. ↑ Daniel Barnes: Baltimore Ransomware Attack. In: CNS. 13. Juni 2019, abgerufen am 28. April 2020 (englisch). 
7. Luke Broadwater: Baltimore tranfers $6 million to pay for ransomware attack; city considers insurance against hacks. In: The Baltimore Sun. 28. August 2019, abgerufen am 28. April 2020 (englisch). 
8. ↑ Ian Duncan, Christine Zhang: Analysis of ransomware used in Baltimore attack indicates hackers needed ‚unfettered access‘ to city computers. In: The Baltimore Sun. 17. Mai 2019, abgerufen am 28. April 2020 (englisch). 
9. H. Saurugg: Hackerangriff auf die Stadtverwaltung von Baltimore: wie verwundbar sind europäische Städte? Hrsg.: Piratenpartei Deutschland. 9. Juni 2019.