22-vuotias tietoturvatutkija pysäytti Britanniassa sairaaloita piinanneen kiristysohjelman vahingossa – näin kaikki tapahtui

Monet uhreista ovat suuryrityksiä. Autonvalmistaja Renault joutui pysäyttämään tuotantonsa kyberhyökkäyksen takia ja myös Saksan rautatieyhtiö Deutsche Bahn ja kuriiriyhtiö FedEx painivat haittaohjelman kanssa. 

Viruksen leviämisestä kärsi myös muun muassa Britannian terveydenhoitojärjestelmä NHS, jonka sairaaloissa jouduttiin viikonlopun aikana perumaan toimenpiteitä sekä käännyttämään potilaita ja ambulansseja toisaalle. Potilastietojärjestelmät takkuilivat ja puhelinyhteydet pätkivät.

Toistaiseksi kiristysohjelman leviäminen näyttäisi kuitenkin laantuneen. Siitä käy kiittäminen vanhempiensa luona asuvaa 22-vuotiasta brittiä, joka keksi kuin sattuman kaupalla, miten ohjelma kytketään pois päältä.

Tapauksesta kertoo muun muassa brittilehti The Guardian. MalwareTech-nimimerkillä esiintyvä tietoturvatutkija on myös kerrannut viikonlopun tapahtumia blogissaan.

Sankariksikin tituleerattu henkilö on esiintynyt julkisuudessa pelkällä nimimerkillään, sillä hänen mukaansa ”pahikset” tuskin katsovat hänen saavutustaan hyvällä.

Haittaohjelmasta löytyi hätäjarru

Tapahtumaketju sai alkunsa perjantaina, kun yhdysvaltalaiselle turvallisuusalan yritykselle työskentelevä MalwareTech palasi lounaalta.

– Kun pääsin takaisin noin kolmen maissa, näin uutistulvan Britannian terveydenhoitojärjestelmään ja muihin britannialaisiin organisaatioihin kohdistuneesta hyökkäyksestä, hän kertoo The Guardianin haastattelussa.

– Tutkailin hieman asiaa ja löysin haittaohjelman, jota hyökkäyksessä oli käytetty. Huomasin, että se otti yhteyttä tiettyyn verkko-osoitteeseen, jota ei oltu rekisteröity. Päätin rekisteröidä verkkotunnuksen tietämättä, mitä olin tehnyt.

Kävi ilmi, että haittaohjelman koodiin oli ujutettu ”hätäjarru” siltä varalta, että viruksen kehittäjä olisi tahtonut lopettaa viruksen leviämisen.

Haittaohjelma pyrki ottamaan yhteyttä keksittyyn verkko-osoitteeseen. Ajatuksena oli, että mikäli verkkotunnus on otettu käyttöön, haittaohjelman leviäminen lakkaa.

MalwareTech kertoo The Guardianille maksaneensa verkkotunnuksen rekisteröimisestä 10,69 dollaria. Tämän jälkeen osoitteeseen alkoi tulvia tuhansia yhteyspyyntöjä joka sekunti.

MalwareTech kertoo The Guardianille rekisteröineensä haittaohjelman tavoitteleman verkko-osoitteen, sillä hänen työhönsä kuuluu niin sanottujen bottiverkkojen tarkkailu. Verkkoliikenteen seuraaminen antaa käsitystä siitä, mihin saakka saastuneista koneista koostuvan bottiverkon lonkerot ulottuvat.

– Tarkoituksena oli vain tarkkailla leviämistä ja katsoa, voisimmeko tehdä asialle mitään jälkikäteen. Saimme kuitenkin hyökkäyksen loppumaan vain verkko-osoitteen rekisteröimällä, hän kertoi.

Haittaohjelmalta voi välttyä päivittämällä käyttöjärjestelmän

Vaikka laajamittaisen kyberhyökkäyksen ensimmäinen aalto näyttääkin murtuneen, tietoturvatutkija varoittelee blogissaan mahdollisista uusista hyökkäyksistä.

Kun haittaohjelman kehittäjät huomaavat, että viruksen leviäminen on pysäytetty, he todennäköisesti tekevät muutoksia ohjelmaan. Sen jälkeen hyökkäys voi alkaa taas alusta.

– On äärimmäisen tärkeää, että kaikki päivittämättömät järjestelmät päivitetään niin pian kuin mahdollista, MalwareTech kirjoittaa.

Haittaohjelma hyödyntää Windows-käyttöjärjestelmien haavoittuvuuksia, joiden korjaamiseksi Microsoft julkaisi päivityksen jo maaliskuussa.

MalwareTechin löytämä haavoittuvuus ei auta jo viruksesta saastuneita tietokoneita. Lisäksi on mahdollista, että liikkeellä on muita versioita haittaohjelmasta.

WannaCry tai WanaCrypt0r 2.0 -kiristysohjelma julkaistiin 14. huhtikuuta. Sen takana on ”Shadow Brokers” -niminen hakkeriryhmä, joka väitti viime vuonna saaneensa haltuun tukun Yhdysvaltain tiedusteluviraston NSA:n ”kyberaseita”.

WannaCry leviää pääasiassa sähköpostin välityksellä. Se salaa hyökkäyksen kohteena olevalta tietokoneelta löytyvät tiedostot ja vaatii rahaa niiden vapauttamiseksi. Lunnasrahoja vaaditaan useimmiten virtuaalivaluutan, kuten bitcoinien muodossa.