Die Rechner der Stadtverwaltung von Baltimore sind seit mehr als drei Wochen in virtueller Geiselhaft. Sie wurden über die vom Militärgeheimdienst NSA entwickelte Malware „EternalBlue“ mit Ransomware infiziert.
Die Erpresser fordern 13 Bitcoin Lösegeld, umgerechnet etwa 100.000 Dollar; Baltimore will nicht zahlen. Mit der Folge, dass etliche Dienste der Öffentlichen Hand aktuell nicht wie gewohnt zur Verfügung stehen. Und Baltimore ist nicht allein: Einem Bericht der „New York Times“ vom vergangenen Wochenende zufolge wurden unter anderem auch schon Allentown, Pennsylvania, und das texanische San Antonio mittels EternalBlue attackiert.
In den Gemeinden gibt es oft historisch gewachsene, verworrene Netze und veraltete Software. Damit haben Angriffswerkzeuge wie die von den „Shadow Brokers“ (wer das ist, weiß noch immer niemand) 2017 ins Netz gestellten NSA-Tools ein allzu leichtes Spiel – und das, obwohl Softwarehersteller wie Microsoft längst Patches für die ausgenutzten Schwachstellen veröffentlicht haben.
„Unglaublich, dass ein von Geheimdiensten genutztes Werkzeug nun öffentlich verfügbar ist und auf breiter Front eingesetzt wird“, klagt Vikram Thakur, Director of Security Response bei Symantec. Matthew Leibert, CIO der im Februar vergangenen Jahres lahm gelegten Stadt Allentown, bezeichnete die gegen seine Rechner eingesetzte Software als „Commodity Malware“, die Cyberkriminelle im sogenannten Dark Web kaufen und dann oftmals ohne konkretes Ziel einsetzen. „Im Ausland gibt es ganze Lagerhallen voller Kids, die Phishing-E-Mails abfeuern“, sagt Leibert und vergleicht das mit Verbrechern, die mit Militärgerät auf zufällige Ziele feuern.
EternalBlue verbreitet sich zwar nicht selbst via E-Mail (sondern über eine veraltete Version des Netzprotokolls SMB), Phishing-Mails sind aber häufig das Einfallstor für das erste Einschleusen dieser und ähnlicher Malware. Deswegen ist es in Zeiten wie diesen unverzichtbar, seine E-Mail-Infrastruktur so gut wie möglich abzusichern – zum Beispiel mit Retarus Email Security inklusive ATP und mit patentierter Postdelivery Protection. Selbstverständlich sollte man aber auch seine Software auf einem möglichst aktuellen Stand halten, sprich Patches zeitnah nach Erscheinen einspielen, und last, but not least die Nutzer für einen informierten Umgang mit elektronischer Post sensibilisieren.
Update vom 5. Juni 2019: Der Erpresser von Baltimore hat über einen mittlerweile abgeschalteten Twitter-Account kundgetan, dass er nicht mit EternalBlue gearbeitet habe, wie “Ars Technica” berichtet. Zum jetzigen Zeitpunkt lässt sich die Behauptung nicht überprüfen.
