Ransomware-angreb ramte 150+ lande — en ung forsker stoppede det
**Et globalt kaos starter**
Den 12. maj 2017 klokken 07:44 UTC spredte ransomwaren WannaCry sig som en løbeild gennem digitale systemer verden over. Inden dagen var omme, havde malwaren inficeret mellem 200.000 og 300.000 computere i mere end 150 lande. Men det var ikke antallet af inficerede maskiner, der skulle blive most berømt. Det var konsekvenserne for millioner af mennesker, der havde brug for akut medicinsk hjælp.
**NHS på knæ**
Beginn des WannaCry-Angriffs
Um 7:44 Uhr UTC beginnt sich die Ransomware WannaCry weltweit zu verbreiten. Innerhalb weniger Stunden sind Hunderttausende Computer infiziert.
NHS wird lahmgelegt
81 NHS-Trusts in England und Schottland werden getroffen, 34 davon komplett von ihren Systemen ausgesperrt. Tausende Termine werden abgesagt.
Marcus Hutchins entdeckt den Kill Switch
Der 22-jährige Cybersicherheitsforscher MalwareTech findet heraus, dass die Malware nach einem bestimmten Domainnamen sucht und registriert diesen.
WannaCry wird gestoppt
Um 15:03 Uhr UTC – weniger als 8 Stunden nach Beginn – wird die Verbreitung von WannaCry durch den aktivierten Kill Switch beendet.
Offizielle Schadensbilanz
Das britische Gesundheitsministerium veröffentlicht einen Bericht: Der Angriff kostete das NHS 92 Millionen Pfund, über 19.000 Termine wurden abgesagt.
I Storbritannien blev angrebet særlig ødelæggende. Hele 81 NHS-trusts i England og Skotland blev ramt af cyberangrepet. Værre endnu: 34 NHS-trusts blev fuldstændigt låst ude af deres enheder — blandt dem 27 akutte hospitaler, der skulle have leveret akut medicin til befolkningen.
Resultatet var konkret og menneskeskadeligt. Over 19.000 NHS-tidsbestillinger blev aflyst. Patienter blev sendt hjem uden behandling. Operationer blev udsat. Det britiske Department of Health and Social Care estimerede senere, at angrebet kostede NHS £92 millioner.
**Teknologien kom fra NSA**
Den teknologi, der blev brugt til angrebet, var stolen fra den amerikanske National Security Agency. Angrebet udsendtes ved hjælp af en Microsoft Windows-sårbarhed — og det var det beslemmeligste: NHS havde ikke installeret de sikkerhedsopdateringer, der var gjort tilgængelige for længst.
**Hjælpen kommer fra en ung forsker**
Mens hospitalerne lammedes og verden holdt vejret, arbejdede Marcus Hutchins desperat på at finde en løsning. Den dengang 22-årige cybersikkerhedsforsker, som opererede under kaldenavnet MalwareTech, opdagede noget afgørende: ransomwaren var programmeret til at tjekke efter et specifikt domænenavn. Hvis domænet blev registreret, ville malwaren stoppe med at sprede sig.
Hutchins handlede hurtigt. Han registrerede domænenavnet — og dermed aktiverede han utilsigtet en "kill switch" i malwaren.
**Angrebet stoppede**
Klokken 15:03 UTC samme dag — mindre end 8 timer efter angrebet startede — blev WannaCry-ransomwaren stoppet. Det var en af cyberangrebets mest usedvanlige historier: en ung forsker havde, næsten ved et tilfælde, reddet millioner fra værre konsekvenser.
Men én vigtig sandhed blev aldrig helt løst: Identiteten på den eller de personer, der står bag angrebet, er aldrig blevet opklaret. Efterforskningen har peget på nordkoreanske kilder, men sikkert bevis foreligger ikke offentligt.
**Kilder:** - https://netsecgroup.io/guides/wannacry-ransomware-nhs-attack - https://www.nao.org.uk/wp-content/uploads/2017/10/Investigation-WannaCry-cyber-attack-and-the-NHS.pdf - https://en.wikipedia.org/wiki/WannaCry_ransomware_attack - https://www.acronis.com/en/blog/posts/nhs-cyber-attack/ - https://pmc.ncbi.nlm.nih.gov/articles/PMC5461132/ - https://www.cbsnews.com/news/researcher-22-unintentionally-discovered-kill-switch-that-halted-worldwide-cyberattack/