Durante el ataque de ransomware Baltimore de mayo de 2019, la ciudad estadounidense de Baltimore , Maryland, vio comprometidos en gran medida sus servidores por una variante de ransomware llamada RobbinHood. Baltimore se convirtió en la segunda ciudad estadounidense en caer víctima de esta nueva variante de ransomware después de Greenville, Carolina del Norte y fue la segunda ciudad importante de Estados Unidos con una población de más de 500.000 personas en ser hackeada por ransomware en dos años, después de que Atlanta fuera atacada el año anterior.
Baltimore había sido blanco de ransomware una vez antes del ataque de mayo de 2019 en 2018, aunque ese ataque fue más pequeño en comparación y derribó el sistema de despacho de emergencia de la ciudad por un corto período. [2] El 2 de mayo, solo unos días antes de la primera infección, la alcaldesa Catherine Pugh renunció en medio de un escándalo de corrupción y finalmente fue declarada culpable y sentenciada a 3 años de prisión. [3] Fue reemplazada por Jack Young .
El 7 de mayo de 2019, la mayoría de los sistemas informáticos del gobierno de Baltimore se infectaron con la agresiva variante de ransomware RobbinHood. Todos los servidores, con excepción de los servicios esenciales, quedaron fuera de línea. En una nota de rescate, los piratas informáticos exigieron 13 bitcoins (aproximadamente 76.280 dólares) a cambio de claves para restablecer el acceso. La nota decía que si no se cumplían las exigencias en un plazo de cuatro días, el precio aumentaría y en un plazo de diez días la ciudad perdería permanentemente todos los datos. [4] [5] [6] [7] [8] [9] [10] El 25 de mayo, la experta en seguridad Nicole Perlroth especuló que el exploit robado de la NSA EternalBlue se utilizó para infiltrarse en las vulnerabilidades de la red de la ciudad e iniciar el ataque, [11] aunque en unas memorias publicadas en febrero de 2021, Perlroth se retractó de su declaración original tras concluir que el exploit no era, de hecho, el responsable. [12]
Baltimore era susceptible a un ataque de este tipo debido a sus prácticas de TI, que incluían un control descentralizado de su presupuesto de tecnología y la falta de asignación de dinero que su gerente de seguridad de la información quería para financiar un seguro contra ciberataques. [13] El ataque se ha comparado con un ataque de ransomware en Atlanta el año anterior, y fue el segundo uso importante del ransomware RobbinHood en una ciudad estadounidense en 2019, ya que Greenville, Carolina del Norte, también se vio afectada en abril. [14]
El ataque tuvo un impacto negativo en el mercado inmobiliario, ya que las transferencias de propiedades no se pudieron completar de forma digital debido a que el sistema estaba inactivo [15] [16] , ya que el sistema de pago con tarjeta de la ciudad y la aplicación de verificación de deudas quedaron inaccesibles. Además, los empleados de la ciudad no pudieron usar su sistema de correo electrónico y recurrieron a la creación de cuentas de Gmail como solución alternativa. Google bloqueó automáticamente sus cuentas debido a la gran cantidad de cuentas creadas en ese lapso de tiempo, aunque la empresa restauró posteriormente las cuentas de Gmail [17] .
La recuperación, que inicialmente se estimó que tardaría varias semanas más el 20 de mayo [13] , finalmente duró hasta septiembre. [18] Frank Johnson, director de TI de Baltimore, fue puesto en licencia sin goce de sueldo tras el ataque de ransomware. Desde que se convirtió en director de TI de la ciudad durante la administración de Pugh, Johnson había sido criticado por no tener un plan de recuperación de desastres escrito y por su manejo del ataque de 2019, que se estimó que le costó a la ciudad 18 millones de dólares. [18] Fue reemplazado por el subdirector Todd Carter, quien luego se convirtió en el director de TI permanente en febrero de 2020 después de que Johnson dejara el cargo en octubre. [19]