Baltimore-Hack: War es doch nicht EternalBlue?

Seit einem Monat ist die städtische IT von Baltimore wegen Ransomware down. Der mutmassliche Hacker sagt, er habe keinen NSA-Exploit eingesetzt.
 
Die US-Stadt Baltimore und ihre 600'000 Einwohner kämpfen nach wie vor mit den Folgen eines erfolgreichen Ransomware-Angriffes auf die städtische IT-Infrastruktur. Die Stadt gab an, 35 Prozent der User von städtischen IT-Systemen neu authentifiziert zu haben, indem sie neue Benutzernamen und Passwörter vergab. Auch sei die Bezahlung von Park-, Rotlicht- und Blitzer-Kamerabussen wieder möglich.
 
Bis in einigen Tagen sollen 90 Prozent der 10'000 städtischen Angestellten wieder Zugang zu E-Mail und ähnlichem haben, schreibt 'Statescoop'. Im Juli will man dann plangemäss die Vermögenssteuer-Rechnungen verschicken können.
 
Trotz den Fortschritten bleiben viele digitale Dienste von Baltimore seit dem 7. Mai offline, einschliesslich der Abwicklung von Immobilientransaktionen und den Abrechnungen der Stadtwerke. Die Stadt hat auf Papierpfandrechte zurückgegriffen, um den Verkauf von Eigenheimen wieder in Gang zu bringen, und der Baudirektor der Stadt sagt, dass seine Abteilung zwar keine Wasserrechnungen online ausstellen oder empfangen kann, die Wasserzähler in Wohngebieten jedoch weiterhin Messungen vornehmen.
 
Die Behörden schätzen laut dem TV-Sender 'CBS', dass der Ransomware-Angriff Baltimore 18 Millionen US-Dollar kostet - nämlich 10 Millionen US-Dollar für den Wiederaufbau der IT-Systeme, hinzu kommen verlorene, potentielle Einnahmen in Höhe von acht Millionen inklusive nicht mehr einkassierbare Bussgelder und Gebühren.
 
Der mutmassliche Täter hat in den letzten Wochen via einen Twitter-Account namens "Robbinhood" kommuniziert und Dokumente publiziert, die nahelegen, dass er zumindest teilweise erfolgreich war. Ein Journalist von 'Ars Technica' schaffte es nun kurz vor der Schliessung des Accounts, den Angreifer nach der eingesetzten Malware zu fragen: "Haben Sie also EternalBlue verwendet oder nicht?" "Absolut nicht, mein Freund", antwortete "Robbinhood". Spricht er die Wahrheit, so wäre nicht der dem US-Geheimdienst NSA zugeschriebene Exploit EternalBlue gegen Baltimore eingesetzt worden.
 
Auch bei 'Krebs on Security' widerspricht ein Experte basierend auf einer Code-Analyse der These, dass eine staatliche amerikanische Cyber-Waffe gegen eine amerikanische Stadt eingesetzt wurde. Das würde auch die Stadt Baltimore vom Vorwurf freisprechen, sie habe 60 Tage Zeit gehabt, vor der Attacke einen Microsoft-Patch gegen die EternalBlue-Lücke einzuspielen.
 
Den aktuellen Wissensstand zu "Robbinhood" und seinem Ransomware-Tool hat auch 'Ars Technica' publiziert.
 
Der Hacker gibt der Stadt Baltimore bis 7. Juni Zeit, um rund 104'000 US-Dollar in Cryptocurrency als Lösegeld zu zahlen, was die Stadt aber kategorisch ablehnt.

Die Behörden hoffen, im Laufe des Julis einen forensischen Bericht über den Angriff vorlegen zu können. (mag)