Maj 2017: WannaCry udløser cyberangreb via Windows-hul
Fredag den 12. maj 2017 kl. 07:44 UTC indledtes et globalt cyberangreb af hidtil usete dimensioner. WannaCry-ransomwaren spredte sig eksplosivt og inficerede hundredtusindvis af computere i over 150 lande. Angrebet, der udnyttede en kendt sårbarhed i Microsoft Windows, lammede organisationer verden over – fra det britiske sundhedsvæsen i Storbritannien til store internationale virksomheder. Ved at kryptere vitale filer og kræve løsesum i Bitcoin skabte cyberkriminaliteten kaos og omfattende systemsvigt. Chokket forstærkedes af, at en sikkerhedsopdatering, som kunne have forhindret katastrofen, havde været tilgængelig i måneder, men var blevet overset af alt for mange systemadministratorer.
Storbritannien og Spanien i panik: NHS lammet, Bitcoin-krav
Kaosset brød ud næsten øjeblikkeligt. Klokken 08:03 UTC stod medarbejdere hos den spanske telegigant Telefónica over for låste skærme og truende beskeder. Kort efter måtte hospitalspersonale i Storbritanniens National Health Service (NHS) desperat afvise akutte patienter og aflyse operationer, da WannaCry blokerede adgangen til kritiske patientjournaler og vitale systemer – et omfattende systemsvigt. Ransomwaren var designet til at skabe panik: Et nedtællingsur truede med permanent sletning af data, medmindre en løsesum på $300 i Bitcoin blev betalt inden 72 timer. Via internettet spredte den digitale storm sig som en steppebrand og ramte over 230.000 systemer globalt.
Marcus Hutchins: Den 22-årige der fandt WannaCry 'kill switch'
Midt i det eskalerende kaos arbejdede den 22-årige britiske cybersikkerhedsforsker Marcus Hutchins fra sit kontor i Devon. Om eftermiddagen, klokken 15:33 UTC, gjorde han en afgørende opdagelse: Et usædvanligt, hardkodet domænenavn gemt i WannaCry-ransomwarens kode – iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Hutchins indså, at dette domæne fungerede som en slags "kill switch"; var det aktivt, ville malwaren stoppe sin spredning. Han registrerede straks domænet for $10,69. Selvom dette geniale træk gradvist bremsede infektionsraten for WannaCry, var skaden allerede sket for hundredtusinder af ofre verden over, som fortsat stod med krypterede systemer og lammet drift.
Konsekvenser: Aflyste operationer i UK og stop i japanske fab.
Bag de tekniske detaljer og overskrifterne i diverse medier gemte sig utallige personlige tragedier og driftsmæssige mareridt. I Blackpool i Storbritannien fik den 78-årige Jean Thomas aflyst sin hofteoperation, fordi hospitalet ikke kunne tilgå hendes blodprøveresultater – en direkte konsekvens af NHS's systemsvigt forårsaget af WannaCry. Tusindvis af andre patientaftaler blev aflyst, og senere studier indikerede endda en målbar stigning i dødeligheden for visse patientgrupper på de ramte hospitaler i ugerne efter angrebet. Samtidig stod produktionslinjerne stille i dagevis på en Honda-fabrik i Japan, hvor teknikere kæmpede med at gendanne 2.000 krypterede maskiner, et eksempel på de alvorlige økonomiske konsekvenser af denne cyberkriminalitet.
Efterforskning: Nordkoreas Lazarus Group og Park Jin-hyok
Efterforskningen af bagmændene bag WannaCry-angrebet pegede hurtigt mod Nordkorea. I september 2018 sigtede USA's justitsministerium formelt Park Jin-hyok, et formodet medlem af den berygtede, statssponsorerede hackergruppe kendt som Lazarus Group. Anklagerne omfattede hacking i forbindelse med WannaCry og andre cyberoperationer, formentlig udført for at skaffe midler til det nordkoreanske regime – en form for statsstøttet økonomisk kriminalitet, der grænser til spionage. Sporene var dog komplekse. Selvom der kun blev indbetalt omkring $144.000 i løsesum via Bitcoin fordelt på 327 transaktioner, blev størstedelen af denne krypto-valuta efterfølgende sløret gennem russiske mikrobetalingstjenester, hvilket gjorde sporingen yderst vanskelig.
WannaCrys teknik: EternalBlue og kryptering udfylder hul
Teknisk set var WannaCry en sofistikeret kombination af en orm og et ransomware-modul. Ormen udnyttede den berygtede EternalBlue-sårbarhed (CVE-2017-0145) i Microsoft Windows – et potent cybervåben oprindeligt udviklet af, og senere lækket fra, USA's National Security Agency (NSA). Ransomware-modulet krypterede ofrenes filer med stærke algoritmer som AES-128 og RSA-2048. Ved infektion etablerede malwaren sig dybt i systemet ved at oprette registreringsnøgler og en skjult tjeneste. Den katastrofale spredning skyldtes primært den manglende installation af Microsofts kritiske sikkerhedsopdatering MS17-010, som specifikt lukkede EternalBlue-sårbarheden. Undersøgelser viste chokerende, at op mod 98% af de ramte computere manglede denne afgørende patch, hvilket illustrerer et udbredt systemsvigt i patch management.
Økonomisk efterspil: WannaCrys enorme tab og knuste håb
Selvom de direkte indbetalte løsepenge i Bitcoin var relativt beskedne, var de samlede økonomiske omkostninger ved WannaCry-cyberangrebet astronomiske. Lloyd's of London estimerede de globale tab til mellem 4 og 8 milliarder dollars – et svimlende beløb for økonomisk kriminalitet af denne type. Alene i Storbritannien brugte NHS over 92 millioner pund på oprydning og håndtering af de 19.000 aflyste patientaftaler. WannaCry står i dag som en brutal påmindelse om sårbarheden i vores globale digitale infrastruktur. Angrebet understregede de vidtrækkende konsekvenser, et enkelt stykke ransomware kan have – ikke kun økonomisk, men også for almindelige menneskers liv og sikkerhed. Tilliden til internettets og systemernes robusthed led et alvorligt knæk den majdag i 2017, og episoden fremhævede behovet for øget fokus på cybersikkerhed og forebyggelse af lignende systemsvigt.
Kilder:
Følg KrimiNyt for flere dybdegående sager om cyberkriminalitet, spionage og virkelighedens mørke sider.