{"id":218286,"date":"2019-05-21T17:52:58","date_gmt":"2019-05-21T15:52:58","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=218286"},"modified":"2019-05-24T16:48:14","modified_gmt":"2019-05-24T14:48:14","slug":"baltimore-nach-ransomware-nach-2-wochen-noch-offline","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/05\/21\/baltimore-nach-ransomware-nach-2-wochen-noch-offline\/","title":{"rendered":"Baltimore nach Ransomware nach 2 Wochen noch offline"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Auch fast zwei Wochen nach einem Ransomware-Befall sind viele Computersysteme der US-Stadt Baltimore noch immer offline. <strong>Erg\u00e4nzung:<\/strong> Google setzt Baltimore jetzt ihre beh\u00f6rdlichen Gmail-Konten zur\u00fcck.<\/p>\n<p><!--more--><\/p>\n<h2>Angriff am 7. Mai 2019<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/77b590eab4d8427a9898911809a867c4\" alt=\"\" width=\"1\" height=\"1\" \/>Ich hatte es hier im Blog aus Zeitgr\u00fcnden nicht thematisiert. Vor fast zwei Wochen hat es einen Cyberangriff auf die Rechnersysteme und Netzwerke der Stadt Baltimore gegeben.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\"><a href=\"https:\/\/twitter.com\/hashtag\/BCRPALERT?src=hash&amp;ref_src=twsrc%5Etfw\">#BCRPALERT<\/a>: BCRP is experiencing network and email outages. We apologize for the delay in all communications and are working to solve the problem. Please know our online payment, permit, program registration and service requests are currently effected. <a href=\"https:\/\/t.co\/vzXYnEqi7M\">pic.twitter.com\/vzXYnEqi7M<\/a><\/p>\n<p>\u2014 Baltimore Rec &amp; Parks (@RecNParks) <a href=\"https:\/\/twitter.com\/RecNParks\/status\/1125812906598260738?ref_src=twsrc%5Etfw\">7. Mai 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>In einer Info der Stadt war nur davon die Rede, dass E-Mail-Systeme und das Netzwerk ausgefallen w\u00e4ren. Die Systeme wurden durch eine RobinHood-Ransomware befallen, wie Arstechnica <a href=\"https:\/\/arstechnica.com\/information-technology\/2019\/05\/baltimore-city-government-hit-by-robbinhood-ransomware\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier berichtete<\/a>. Die IT-Verantwortlichen haben dann die IT-Systeme und Netzwerke heruntergefahren.<\/p>\n<p>Lester Davis, ein Sprecher des B\u00fcros des B\u00fcrgermeisters von Baltimore, sagte dem Ian Duncan von Baltimore Sun, dass der Angriff \u00e4hnlich war wie jener war, der die Stadt Greenville, North Carolina, im April 2019 traf.<\/p>\n<h2>RobinHood-Ransomware<\/h2>\n<p>Der Befall durch die sehr aggressive RobbinHood-Ransomware, die im vergangenen Monat entstanden sein d\u00fcrfte, wurde dann von Frank Johnson, Chief Information Officer von Baltimore, best\u00e4tigt. Der Sicherheitsforscher Vitali Kremez, konnte k\u00fcrzlich eine Kopie der RobbinHood-Ransomeware analysieren. Gegen\u00fcber Arstechnica sagte Kremez, dass die Malware offenbar nur Dateien auf einem einzigen Rechner angreift und sich nicht \u00fcber Netzwerkfreigaben verbreitet. \"Es wird angenommen, dass es \u00fcber psexec und\/oder kompromittierte Dom\u00e4nencontroller direkt auf die einzelnen Maschinen verbreitet wird\", sagte Kremez. \"Der Grund daf\u00fcr ist, dass die Ransomware selbst keine Funktion zur Verbreitung in einem Netzwerk aufweist.\"<\/p>\n<h2>Die Probleme halten an<\/h2>\n<p>Momentan scheint es die Verwaltung von Baltimore ziemlich zu beuteln, denn Arstechnica berichtet <a href=\"https:\/\/arstechnica.com\/information-technology\/2019\/05\/baltimore-ransomware-nightmare-could-last-weeks-more-with-big-consequences\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a>, dass immer noch viele Systeme offline seien. Es kann noch Wochen dauern, bis die Dienste der Stadt wieder so funktionieren, wie es einem 'normalen manuellen Arbeitsablauf' entspricht. Also faktisch ein Notbetrieb. Die Wasserabrechnung und andere Zahlungssysteme der Stadt bleiben offline, ebenso wie der Gro\u00dfteil des E-Mail-Verkehrs der Stadt und ein Gro\u00dfteil der Telefonanlagen der Stadtverwaltung.<\/p>\n<p>Der Ransomware-Angriff traf die Stadtverwaltung in einer Phase des \u00dcbergangs im Rathaus. B\u00fcrgermeister Bernard C. \"Jack\" Young trat sein Amt offiziell nur wenige Tage vor dem Angriff an. Die Vorg\u00e4ngerin, Catherine Pugh, musste als B\u00fcrgermeisterin zur\u00fccktreten und sieht sich einer Korruptionsuntersuchung gegen\u00fcber. Auch einige der kritischen Stabsstellen des B\u00fcrgermeisters blieben unbesetzt &#8211; Sheryl Goldstein, der stellvertretende Stabschef des B\u00fcrgermeisters, gerade mit seiner Arbeit.<\/p>\n<p>Baltimore hat keine Versicherung, um die Kosten f\u00fcr einen Cyberangriff zu decken. Die Kosten f\u00fcr die Bereinigung der Systeme von der RobbinHood-Ransomware, werden die von den Ransomware-Betreibern geforderten ca. 70.000 Dollar bei weitem \u00fcbersteigen. Die Kosten werden also vollst\u00e4ndig von den B\u00fcrgern Baltimores getragen.<\/p>\n<p>Der Informationssicherheitsmanager von Baltimore mahnte bei den Haushaltsanh\u00f6rungen im vergangenen Jahr, eine Richtlinie, wie bei Cyberangriffen zu verfahren sei, zu erlassen und Mittel bereitzustellen. Aber der endg\u00fcltige Haushalt enthielt keine Mittel f\u00fcr diesen Bereich und beinhaltete auch keinen Finanzrahmen f\u00fcr eine erweiterte Sicherheitsausbildung f\u00fcr st\u00e4dtische Angestellte oder andere strategische Investitionen, die Teil des strategischen Plans des B\u00fcrgermeisters f\u00fcr die Informationstechnologie-Infrastruktur der Stadt waren.<\/p>\n<p>Aktuell k\u00f6nnen die Verantwortlichen nicht angeben, wann die IT-Systeme der Stadtverwaltung wieder in einem Zustand sind, dass die Verwaltung wieder arbeiten kann.<\/p>\n<h2>Google kickt GMail-Konten raus<\/h2>\n<p>Erg\u00e4nzung: Ich habe zum 24.5.2019 die Meldung gelesen, dass Google jetzt damit begonnen hat, die Gmail-Konten der Stadt Baltimore zur\u00fcckzusetzen und wieder zu aktivieren. Habe ich erst nicht verstanden, da der Artikel einer Agentur in Baltimore f\u00fcr mich gesperrt war (IP-Sperre f\u00fcr Zugriffe aus Europa). The Verge hat es aber <a href=\"https:\/\/www.theverge.com\/2019\/5\/23\/18637638\/google-gmail-baltimore-ransomware-attacks\" target=\"_blank\" rel=\"noopener noreferrer\">hier aufgekl\u00e4rt<\/a>.<\/p>\n<ul>\n<li>Nach der Ransomware-Attacke ist auch das E-Mail-System der st\u00e4dtischen Beh\u00f6rden au\u00dfer Betrieb.<\/li>\n<li>Irgend ein Cleverle kam auf die Idee 'nehmen wir doch Google Gmail als Ersatz'.<\/li>\n<li>Dann haben sehr viele st\u00e4dtische Angestellte Gmail-Konten eingerichtet.<\/li>\n<li>Da aber auch Beh\u00f6rden kommerzielle Nutzer sind und f\u00fcr Google-Dienste zahlen m\u00fcssen, wurden die neuen Gmail-Konten automatisch wieder deaktiviert.<\/li>\n<\/ul>\n<p>Verantwortlich daf\u00fcr war eine Google-Software, die das \u00fcberwacht. Nun beginnt Google damit, die gesperrten Gmail-Konten wieder freizugeben, damit die st\u00e4dtischen Angestellten in Baltimore untereinander wieder dienstlich kommunizieren k\u00f6nnen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Auch fast zwei Wochen nach einem Ransomware-Befall sind viele Computersysteme der US-Stadt Baltimore noch immer offline. Erg\u00e4nzung: Google setzt Baltimore jetzt ihre beh\u00f6rdlichen Gmail-Konten zur\u00fcck.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-218286","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218286","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=218286"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218286\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=218286"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=218286"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=218286"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}