Computer Security Baltimore immer noch von Ransomware Attack taumeln

Baltimore immer noch von Ransomware Attack taumeln

Baltimore Ransomware Die Stadt Baltimore ist noch immer mit den Folgen des Ransomware-Angriffs am 7. Mai konfrontiert. Polizei, Feuerwehr und Rettungsdienste waren von der Malware nicht betroffen, aber fast alle anderen Dienste wurden entweder unterbrochen oder aus dem Betrieb genommen, um weiteren Schaden zu verhindern . Die Wiederherstellung der betroffenen Netzwerke hat sich als eine herausfordernde Aufgabe erwiesen. Zwei Wochen nach dem Verstoß sind viele der Systeme nicht verfügbar. Tatsächlich gab der neue Bürgermeister von Baltimore, Bernard "Jack" Young, am 17. Mai eine Erklärung ab, wonach es Wochen dauern könne, bis die Online-Funktionen der Stadt teilweise wiederhergestellt seien, und Monate, bis einige der komplizierteren Systeme hergestellt seien. Die Erklärung ergab auch, dass führende Cybersicherheitsexperten beauftragt wurden und mit den städtischen Behörden zusammenarbeiten.

In der Zwischenzeit suchen sowohl Einwohner als auch Stadtarbeiter nach Problemumgehungen, während Wasserrechnungen und andere Stadtgebühren wie Parktickets nicht online verarbeitet werden können. Alle Immobilienkäufe wurden aufgrund der Netzwerkprobleme ebenfalls zurückgestellt. Spätabrechnungsgebühren für Kunden aus der Stadt und dem Landkreis wurden daraufhin ausgesetzt, während am 20. Mai eine manuelle Problemumgehung für Immobilientransaktionen eingeführt wurde.

Es ist nicht das erste Mal, dass Baltimore Opfer eines Ransomware-Angriffs wird. Im Jahr 2018 wurde das 911-System der Stadt abgeschaltet, nachdem Angreifer eine Änderung an der Firewall ausgenutzt hatten, die durch eine Wartung des Kommunikationsnetzwerks verursacht wurde.

Dateien wurden mit RobbinHood Ransomware verschlüsselt

Frank Johnson, Chief Information Officer von Baltimore, hat bestätigt, dass Systemstörungen durch eine neue Variante der RobbinHood Ransomware verursacht wurden . Es gab nur wenige Details darüber, wie diese spezielle Ransomware funktioniert, bevor es dem Sicherheitsforscher Vitaly Kremez gelang, eine RobbingHood-Stichprobe zurückzuentwickeln . Nach seinen Erkenntnissen kann sich die Ransomware nicht über die infiltrierten Netzwerke verbreiten. Im Gegenteil, RobbinHood trennt alle Netzwerkfreigaben auf dem Computersystem über den Befehl " cmd.exe / c net use * / DELETE / Y ". Dies führte Kremez zu dem Schluss, dass die Ransomware höchstwahrscheinlich auf jeden einzelnen infizierten Computer übertragen wurde ein Domänencontroller oder ein Framework wie PsExec.

Beim Starten von RobbinHood Ransomware wird außerdem versucht, 181 Windows-Prozesse zu schließen, die die Verschlüsselung der Zieldateitypen verhindern könnten. Dazu gehören Datenbanken, Mailserver, Antivirenprogramme, Sicherungsagenten und andere Software, die den Betrieb der Malware stören können. Während des Verschlüsselungsvorgangs werden mehrere verschiedene Dateien, die einen Lösegeldschein enthalten, auf dem Computer abgelegt. Die Kriminellen fordern die Zahlung von 3 Bitcoins für jeden infizierten Computer oder 13 Bitcoins im Wert von rund 100.000 US-Dollar für die Entschlüsselung jedes betroffenen Systems. Beamte aus Baltimore haben erklärt, dass sie keine Zahlungen an die Kriminellen leisten werden.

Wird geladen...