{
	"id": "7f900995-b4c7-46b6-b863-8c04dade690b",
	"created_at": "2026-04-06T00:20:55.918829Z",
	"updated_at": "2026-04-10T03:30:31.007812Z",
	"deleted_at": null,
	"sha1_hash": "201c9126fe5a8c7bb0b4dda327f2a090130148f3",
	"title": "Var tæt på at slukke tusindvis af vindmøller: Nu fortæller Vestas om cyberangreb",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 191438,
	"plain_text": "Var tæt på at slukke tusindvis af vindmøller: Nu fortæller Vestas\r\nom cyberangreb\r\nBy AfAllan NisgaardMarcel Mirzaei-FardHenrik MoltkeIngeborg Munk Toft (grafik)\r\nPublished: 2022-02-14 · Archived: 2026-04-02 11:57:20 UTC\r\nDanmarks fjender står lige foran hoveddøren, siger amerikansk cyber-forfatter.\r\nFredag den 19. november 2021 klokken otte om aftenen får topchef i Vestas, Henrik Andersen, sved på panden.\r\nVindmøllegiganten, der har 80.000 vindmøller fordelt på hele kloden, er nemlig blevet ramt af et såkaldt\r\nransomware-angreb.\r\nCyberkriminelle er trængt dybt ind i Vestas' netværk og har sat en væsentlig del af systemerne ud af funktion. For\r\nat åbne dem igen kræver de løsepenge.\r\nDet er uklart, om hackerne også har skaffet sig adgang til de systemer, der styrer vindmøllerne. Det skal Henrik\r\nAndersen og hans hold finde ud af - og det skal gå stærkt.\r\nHvis Vestas af forsigtighed trykker på den helt store knap og slukker for de 50.000 vindmøller, de selv har direkte\r\nadgang til, kan millioner af borgere stå uden strøm.\r\nLukker Vestas ned, risikerer de, at hackerne kan udrette skader på vindmøllerne, som kan tage måneder at fikse.\r\n- Alt er i princippet kritisk, indtil man når til et stadie, hvor man kender fakta, siger Henrik Andersen.\r\nFor første gang siden hackerangrebet åbner Vestas nu op og går i detaljer om hændelsen, der har påvirket\r\ntopchefen kraftigt.\r\n- Det er noget, der for altid sætter sig dybt i éns person, siger Henrik Andersen.\r\nTruslen mod energisektoren er ’meget høj’\r\nNår en vindmøllegigant som Vestas bliver angrebet af hackere, kan det i værste tilfælde få langt større\r\nkonsekvenser end låste systemer og tabte millionbeløb.\r\nVestas er nemlig det, vi kalder kritisk infrastruktur.\r\nAlt det, vi betragter som samfundskritisk – heriblandt telekommunikation, veje, vandforsyning, skibstrafik,\r\nhospitalsvæsnet og elektricitet - er i dag forbundet elektronisk og derfor sårbart overfor cyberangreb.\r\n- Ude i verden tænker man på Danmark som landet bag Mærsk, Lego og Vestas. To ud af de tre (Mærsk og Vestas,\r\nred.) har allerede været ramt af cyberangreb. Så det sker allerede, siger Andy Greenberg, der er journalist på Wired\r\nMagazine og forfatter til bogen Sandworm, der i cyber-kredse er en slags bibel.\r\nhttps://www.dr.dk/nyheder/viden/teknologi/frygtede-skulle-lukke-alle-vindmoeller-nu-aabner-vestas-op-om-hacking-angreb\r\nPage 1 of 5\n\nBogen beskriver, hvordan Kremls berygtede cyberenhed, Sandworm, lammede Mærsks globale operationer, fordi\r\nden danske shipping-gigant ved et tilfælde blev trukket ind i Ruslands cyberkrig mod Ukraine.\r\n- I den her nye virkelighed med cyberanbreb er fysisk afstand ikke noget forsvar. Et land som Danmark har faktisk\r\nfjenderne stående lige foran hoveddøren, fortsætter Andy Greenberg.\r\nVestas' turbiner kan levere strøm til 240 millioner europæeres årlige energiforbrug, hvilket er over halvdelen af\r\nEU's befolkning. De er dermed en vigtig del af energisektoren.\r\nOg den sektor er sårbar overfor cyberangreb, forklarer Søren Maigaard, der er direktør hos energisektorens\r\ncybersikkerhedsenhed, EnergiCERT.\r\n- Worst case-scenariet er, at nogle får kontrol over den kritiske infrastruktur og lukker ned for eksempelvis varmen\r\neller for strømmen i et mindre område. Det skal understreges, at det er ekstraordinært svært at gøre. Men derfor\r\nskal man stadig passe på, fortsætter Søren Maigaard, der ikke ønsker at forholde sig til angrebet mod Vestas.\r\nDet er den blandt andet vurderet til at være, efter USA sidste år oplevede det største cyberangreb mod deres\r\nenergi-infrastruktur nogensinde.\r\nCyberkriminelle fik ram på landets største rørledning, Colonial Pipeline, der hver dag transporterer 378 millioner\r\nliter olie på den amerikanske østkyst.\r\nDa Colonial Pipeline ikke vidste, hvor seriøst det stod til, og heller ikke var i stand til at fakturere for olien, valgte\r\nde helt at lukke rørledningen i seks dage. Det på trods af at Colonial dagen efter angrebet betalte angriberne 5\r\nmillioner dollars for at få systemerne låst op igen.\r\nBåde den amerikanske regering og FBI blev involveret i situationen, der risikerede at hæve amerikanske\r\nbenzinpriser markant.\r\n- Når jeg kigger tilbage på det, så er det en lærerig erfaring. Men det er nok en af de dyrere købte\r\nerfaringer, lyder det fra topchef i Vestas Henrik Andersen. (© DR)\r\nhttps://www.dr.dk/nyheder/viden/teknologi/frygtede-skulle-lukke-alle-vindmoeller-nu-aabner-vestas-op-om-hacking-angreb\r\nPage 2 of 5\n\nTruer med at offentliggøre stjålne dokumenter\r\nDa Vestas får bekræftet, at der er tale om et cyberangreb, går de næste timer med at opklare præcis, hvor seriøst\r\ndet står til.\r\n- Fra det tidspunkt tager vi det simpelthen en time ad gangen, siger Henrik Andersen.\r\nKlokken tre om natten står det klart, at hackerne ikke har formået at trænge ind til de systemer, der styrer Vestas'\r\nmange møller rundt i verden.\r\n- Det gør, at vi kan træffe beslutningen om ikke at lukke for vores turbiner i hele verden. Men vi lukker stort set alt\r\nandet ned, siger Henrik Andersen og fortsætter:\r\n- Hele vores kommunikationsdel kan dog fortsætte upåvirket. Så vores mail, vores teams og vores videoer kan\r\nkøre videre. Det er en stor fordel.\r\nHackerangrebet er dog langt fra overstået for Vestas, der får hjælp fra sikkerhedsfirmaet CSIS Security Group og\r\nCenter for Cybersikkerhed.\r\nUdover at have låst IT-systemerne truer hackergruppen nu også med at offentliggøre tusindvis af stjålne\r\ndokumenter, hvis ikke Vestas betaler en løsesum. Det kaldes dobbeltafpresning.\r\nInde på det såkaldte dark web tikker et ur. Det viser, hvor lang tid Vestas har til at betale løsesummen.\r\nUret vises på en side på dark web, hvor virksomheder bliver hængt til tørre af den cyberkriminelle gruppe\r\nLockBit. Det er her, at følsomme dokumenter bliver lækket, hvis ikke virksomhederne betaler løsesummen.\r\nAlt bliver lækket\r\nSammen med cybersikkerhedsfolkene håndterer Vestas selv de data, der er blevet krypteret og dermed skal\r\ngenskabes fra backups. De har fra starten besluttet sig for ikke at betale de kriminelle hackere.\r\nHverken driften af vindmøllerne eller den daglige produktion er påvirket.\r\nMen hackerne gør alvor af deres trussel. De begynder at offentliggøre store mængder stjålne filer fra Vestas'\r\nsystemer.\r\nBlandt dem er finansielle dokumenter, tekniske tegninger af vindmøller samt meget personlige oplysninger på\r\ncentrale medarbejdere. Herunder Henrik Andersens pas.\r\n- Jeg sidder her som direktør i Vestas, men også som privatperson. Det er jo selvfølgelig at overskride ens\r\npersonlige grænse, siger Henrik Andersen og fortsætter:\r\n- Jeg er meget bekymret og følsom over, at nogle af vores medarbejdere ser dem selv blive taget med i sådan en\r\nkonflikt her. Det berører mig, fortsætter Henrik Andersen.\r\nEkspert: Vi ser hundredvis af angrebsforsøg om dagen\r\nhttps://www.dr.dk/nyheder/viden/teknologi/frygtede-skulle-lukke-alle-vindmoeller-nu-aabner-vestas-op-om-hacking-angreb\r\nPage 3 of 5\n\nVestas er langt fra den eneste virksomhed i den danske energisektor, som hackere forsøger at komme igennem til.\r\nHos sikkerhedscenteret EnergiCERT i Kolding holder de øje med cybertrusler, der kommer ind mod cirka 100\r\nvirksomheder i Danmark indenfor fjernvarme, el og gas.\r\nDet kan de ved hjælp af sensorer, som de har stående ude ved virksomhederne.\r\n- Vi ser hundredvis af forsøg på angreb om dagen. I langt de fleste tilfælde fejler angrebene, fordi selskaberne har\r\nsat de rigtige sikkerhedsværn på plads. Og det er jo positivt, siger direktør Søren Maigaard.\r\nMen hvis der pludselig opstår en fejl i sikkerheds-softwaren, og der skal foretages en opdatering, så sidder\r\nhackerne klar til at angribe. I perioden, fra fejlen opstår, til opdateringen bliver installeret, opstår der nemlig et\r\nhul:\r\n- De kan slå til inden for minutter. Derfor bør man som virksomhed have flere forskellige forsvarsmekanismer på\r\nplads, så der altid er noget, der kan gribe ind, siger Søren Maigaard.\r\nSelvom energisektoren er meget sårbar overfor cyberangreb, så understreger Søren Maigaard, at der tilsvarende\r\nskal meget til, før infrastruktur kan blive lagt ned.\r\n- Der er 400 energiselskaber i Danmark, så det er en ekstremt decentralt opbygget infrastruktur. Det betyder, at du\r\nikke bare kan hacke et enkelt selskab og så lukke landet ned. Du skal angribe et utal af selskaber, og det er meget\r\nsvært at gøre.\r\nDet holder dog ikke de cyberkriminielle, som i mange tilfælde er fra Rusland, tilbage. Ifølge Andy Greenberg er\r\nhackerne villige til at gå langt:\r\n- Russiske hackere - både de pengeinteresserede og de statssponsorerede - har samme motiver. De vil finde et stort\r\nmål, hvor de kan lave så meget kaos som muligt. Uanset om det er at ødelægge Mærsks systemer eller ramme\r\nVestas og tusindvis af vindturbiner rundt om i verden, så er det et utåeligt angreb.\r\nhttps://www.dr.dk/nyheder/viden/teknologi/frygtede-skulle-lukke-alle-vindmoeller-nu-aabner-vestas-op-om-hacking-angreb\r\nPage 4 of 5\n\n- Enten handler det om at få virksomheder til at betale et løsesum, eller også kan det handle om at skabe kaos,\r\nfortsætter Andy Greenberg.\r\nVil ske før eller siden\r\nFor topchef i Vestas, Henrik Andersen, er det vigtigt, at vi som samfund tager cybertruslen mod energisektoren\r\nalvorligt.\r\n- Jeg tror, det er vigtigt at komme til den erkendelse, at der er en ganske stigende sandsynlighed for, at du vil blive\r\nramt af det her på et eller andet tidspunkt, siger Henrik Andersen.\r\nHan er sikker på, at ransomware-angrebet på Vestas nu har givet medarbejderne en generel større indsigt i\r\nsikkerhed og de konsekvenser, som et enkelt forkert klik kan få:\r\n- Vi har næsten 7000 medarbejdere i Danmark. Jeg er ikke et sekund i tvivl om, at samtlige medarbejdere nu har\r\nen noget andet forståelse for cybersikkerhed, end vi havde for blot tre måneder siden, siger Henrik Andersen.\r\nSelvom angrebet i kroner og ører ikke har kostet Vestas tilnærmelsesvis så meget som angrebene på Mærsk, ISS\r\nog Demant, er det ikke en situation, han på nogen måde ønsker, at andre virksomheder kommer til at stå i.\r\n- Det får du mig aldrig til at sige. Jeg kunne aldrig ønske det. Hverken at få det gentaget eller at andre får\r\nerfaringen. Når jeg kigger tilbage på det, så er det en lærerig erfaring. Men det er nok en af de dyrere købte\r\nerfaringer.\r\nSource: https://www.dr.dk/nyheder/viden/teknologi/frygtede-skulle-lukke-alle-vindmoeller-nu-aabner-vestas-op-om-hacking-angreb\r\nhttps://www.dr.dk/nyheder/viden/teknologi/frygtede-skulle-lukke-alle-vindmoeller-nu-aabner-vestas-op-om-hacking-angreb\r\nPage 5 of 5",
	"extraction_quality": 1,
	"language": "DA",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.dr.dk/nyheder/viden/teknologi/frygtede-skulle-lukke-alle-vindmoeller-nu-aabner-vestas-op-om-hacking-angreb"
	],
	"report_names": [
		"frygtede-skulle-lukke-alle-vindmoeller-nu-aabner-vestas-op-om-hacking-angreb"
	],
	"threat_actors": [
		{
			"id": "8941e146-3e7f-4b4e-9b66-c2da052ee6df",
			"created_at": "2023-01-06T13:46:38.402513Z",
			"updated_at": "2026-04-10T02:00:02.959797Z",
			"deleted_at": null,
			"main_name": "Sandworm",
			"aliases": [
				"IRIDIUM",
				"Blue Echidna",
				"VOODOO BEAR",
				"FROZENBARENTS",
				"UAC-0113",
				"Seashell Blizzard",
				"UAC-0082",
				"APT44",
				"Quedagh",
				"TEMP.Noble",
				"IRON VIKING",
				"G0034",
				"ELECTRUM",
				"TeleBots"
			],
			"source_name": "MISPGALAXY:Sandworm",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "7bd810cb-d674-4763-86eb-2cc182d24ea0",
			"created_at": "2022-10-25T16:07:24.1537Z",
			"updated_at": "2026-04-10T02:00:04.883793Z",
			"deleted_at": null,
			"main_name": "Sandworm Team",
			"aliases": [
				"APT 44",
				"ATK 14",
				"BE2",
				"Blue Echidna",
				"CTG-7263",
				"FROZENBARENTS",
				"G0034",
				"Grey Tornado",
				"IRIDIUM",
				"Iron Viking",
				"Quedagh",
				"Razing Ursa",
				"Sandworm",
				"Sandworm Team",
				"Seashell Blizzard",
				"TEMP.Noble",
				"UAC-0082",
				"UAC-0113",
				"UAC-0125",
				"UAC-0133",
				"Voodoo Bear"
			],
			"source_name": "ETDA:Sandworm Team",
			"tools": [
				"AWFULSHRED",
				"ArguePatch",
				"BIASBOAT",
				"Black Energy",
				"BlackEnergy",
				"CaddyWiper",
				"Colibri Loader",
				"Cyclops Blink",
				"CyclopsBlink",
				"DCRat",
				"DarkCrystal RAT",
				"Fobushell",
				"GOSSIPFLOW",
				"Gcat",
				"IcyWell",
				"Industroyer2",
				"JaguarBlade",
				"JuicyPotato",
				"Kapeka",
				"KillDisk.NCX",
				"LOADGRIP",
				"LOLBAS",
				"LOLBins",
				"Living off the Land",
				"ORCSHRED",
				"P.A.S.",
				"PassKillDisk",
				"Pitvotnacci",
				"PsList",
				"QUEUESEED",
				"RansomBoggs",
				"RottenPotato",
				"SOLOSHRED",
				"SwiftSlicer",
				"VPNFilter",
				"Warzone",
				"Warzone RAT",
				"Weevly"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434855,
	"ts_updated_at": 1775791831,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/201c9126fe5a8c7bb0b4dda327f2a090130148f3.pdf",
		"text": "https://archive.orkl.eu/201c9126fe5a8c7bb0b4dda327f2a090130148f3.txt",
		"img": "https://archive.orkl.eu/201c9126fe5a8c7bb0b4dda327f2a090130148f3.jpg"
	}
}