Gå direkt till innehåll
I ett nyligen stoppat fall med ransomware-familjen Akira använde angriparna en metod kallad ”Living off the Land” (LOTL).

Nyhet -

Hackare använder företagets egna verktyg för att undgå upptäckt

Cyberangrepp förknippas ofta med att hackare installerar ny och okänd skadlig kod i offrets system. Men så behöver det inte alltid vara. I ett nyligen stoppat fall med ransomware-familjen Akira använde angriparna en metod kallad ”Living off the Land” (LOTL). Den går ut på att utnyttja redan installerade och fullt legitima IT-verktyg för att genomföra attacken – och på så vis dölja sig bakom vad som ser ut som helt vanlig IT-drift.

Angreppet stoppades av Barracudas XDR-team och lärdomarna är många för företag av alla storlekar.

Så gick attacken till
Angreppet skedde tidigt på morgonen under en nationell helgdag. Cyberkriminella, beväpnade med den flexibla Ransomware-as-a-Service-lösningen Akira riktade in sig på en server för domänhantering – en central funktion för inloggning och åtkomst till filer och applikationer. På servern fanns fjärrhanteringsverktyget Datto Remote Monitoring and Management (RMM) installerat.

I stället för att installera ny skadlig kod utnyttjade angriparna RMM-konsolen tillsammans med tidigare installerade backupklienter. På så sätt kunde de köra skript, ändra brandväggsinställningar och stänga av säkerhetsfunktioner – åtgärder som såg ut som rutinmässig systemadministration och därför inte väckte misstankar.

När filerna senare började krypteras och fick tillägget .akiraupptäckte Barracuda Managed XDR direkt de första krypteringsförsöken. Servern isolerades omedelbart och attacken stoppades innan den hann sprida sig.

Lärdomar från angreppet

  • Angriparna installerade inga nya program som skulle ha utlöst varningssignaler, utan använde redan betrodda verktyg.
  • Aktiviteten liknade vad en backupklient normalt kan göra, vilket gjorde attacken svårare att skilja från vanlig IT-drift.
  • Akira är en Ransomware-as-a-Service-lösning som hyrs ut till olika aktörer. Därför ser varje angrepp olika ut, vilket gör hotet mer svårförutsägbart.

Återställning och återhämtning
Efter att attacken stoppats samarbetade Barracudas team med kunden för att isolera drabbade enheter, ta bort hoten, söka efter eventuella kvarvarande spår av Akira och återställa systemen på ett säkert sätt. I nästa steg förstärktes säkerhetspolicys för att minska risken för liknande incidenter i framtiden.

För att möta den här typen av sofistikerade angrepp krävs heltäckande XDR-lösningar som ger säkerhetsteamen full överblick över nätverk, servrar och enheter. Det gör det möjligt att upptäcka avvikande beteenden tidigt – även när de döljs bakom redan installerade verktyg.

Läs mer här »

Relaterade länkar

Ämnen

Kategorier

Kontakter

  • Barracuda, Akira ransomware.jpg
    Licens:
    Medieanvändning
    Filformat:
    .jpg
    Storlek:
    5890 x 3858, 3,96 MB
    Ladda ner
  • Barracuda, PhaaS, Threat Radar.jpg
    Licens:
    Medieanvändning
    Filformat:
    .jpg
    Storlek:
    7360 x 4912, 7,97 MB
    Ladda ner

Relaterat innehåll

  • Ny rapport visar att hälften av de nordiska företagen har utsatts för ransomware

    En ny internationell rapport visar att hälften (50 procent) av de nordiska företagen drabbats av en eller flera framgångsrika ransomwareattacker under en tolvmånadersperiod. På global nivå är siffran ännu högre – 57 procent. Rapporten visar också att 10 procent av företagen i Norden har utsatts för tre eller fler attacker under samma period.

    Många nordiska företag drabbas av ransomware. Komplexa och fragmenterade system ökar risken för säkerhetsluckor.
  • Därför återkommer attacker med ransomware

    Ransomware fortsätter att vara ett stort hot mot verksamheter världen över. Angreppen blir mer sofistikerade och många organisationer drabbas upprepade gånger med allvarliga konsekvenser som följd. I Barracudas nya Ransomware Insights Report 2025 presenteras färska insikter från 2 000 IT- och säkerhetsansvariga.