Sammanställningen visar bland annat en ökning av skadliga inloggningar i Microsoft 365 där angripare använder IP‑adresser som liknar legitima användares. Det sker bland annat genom VPN‑tjänster eller frekventa IP‑byten.

Nyhet

Sammanfattning: Barracuda SOC Threat Radar – maj 2026

Barracudas sammanställning av incidenter som hanterats och åtgärdats av deras säkerhetscenter visar hur moderna angreppsmetoder ofta utformas för att framstå som normala eller undgå upptäckt.

I maj uppmärksammas bland annat hur angripare utnyttjar intresset för AI‑verktyg, hur inloggningar i Microsoft 365 blir svårare att särskilja från legitim aktivitet samt hur skadlig kod kan köras utan att sparas som filer.

Incidenterna har identifierats och hanterats av Barracuda Managed XDR.

Falsk Claude‑installation används för att sprida skadlig kod
Ett av de tydligaste exemplen visar hur cyberkriminella utnyttjar intresset för AI‑verktyg. I ett fall som Barracudas forskare observerat försökte en användare ladda ner Claude Code, men omdirigerades till en övertygande falsk webbplats.

I stället för att installera den riktiga programvaran utlöste besöket en flerstegsattack. Den skadliga koden kunde köra ett PowerShell‑skript, samla in inloggningsuppgifter lagrade i webbläsaren, kommunicera med en server som kontrollerades av angriparen samt försvåra borttagning genom att installera skadliga certifikat.

Angreppet stoppades inom några sekunder men det var tillräckligt för att viss efterföljande aktivitet skulle kunna genomföras, bland annat åtkomst till inloggningsuppgifter och etablering av kvarvarande åtkomst.

Fallet visar hur namn kopplade till AI används för att få skadlig kod att framstå som trovärdig.

Rekommendationer:

  • Säkerställ att programvara endast installeras från leverantörers officiella webbplatser
  • Blockera domäner som efterliknar kända tjänster eller nyligen har registrerats
  • Uppdatera säkerhetsutbildningar så att de även omfattar AI‑relaterade hot
  • Begränsa vilka användare som får installera programvara på företagsenheter
  • Använd skydd som kan upptäcka avvikande beteenden, inte enbart kända hot

Inloggningar i Microsoft 365 som liknar legitim aktivitet
Sammanställningen visar också en ökning av skadliga inloggningar i Microsoft 365 där angripare använder IP‑adresser som liknar legitima användares. Det sker bland annat genom VPN‑tjänster eller frekventa IP‑byten.

Under april noterades en ökning med omkring 25 procent av denna typ av inloggningar från länder som vanligtvis betraktas ha låg risk, till exempel Storbritannien och USA. Eftersom det rör sig om lyckade inloggningar och inte misslyckade försök, kan de vara svårare att upptäcka för säkerhetslösningar som fokuserar på upprepade inloggningsfel.

När angripare väl har tillgång till giltiga konton kan de få åtkomst till e‑post, filer och interna system utan att omedelbart väcka misstankar.

Rekommendationer:

  • Övervaka alla inloggningar, oavsett utfall
  • Följ upp avvikande beteenden efter inloggning, exempelvis nya enheter eller ovanliga tider
  • Använd konsekvent multifaktorautentisering, särskilt för e‑post och administrativa konton
  • Granska inloggningsloggar regelbundet
  • Använd hotinformation för att identifiera riskabla IP‑adresser

Skadlig kod via urklipp för att undvika upptäckt
En tredje observation gäller skadlig kod som körs utan att sparas som filer på enheten. I ett fall laddades skadlig kod in i datorns urklipp och kördes direkt i minnet med hjälp av PowerShell.

Eftersom inga tydliga filer sparades på disk blir denna metod svårare att upptäcka för säkerhetsverktyg som främst analyserar filer. I det aktuella fallet kunde den skadliga koden kommunicera med en kontrollserver, hämta ytterligare kod, kopiera den till urklippet och köra den lokalt.

Den misstänkta kommunikationen med kontrollservern utlöste en säkerhetsvarning och hotet kunde stoppas.

Rekommendationer:

  • Övervaka beteenden i systemen, särskilt PowerShell‑aktivitet
  • Begränsa användningen av PowerShell till användare som behöver det
  • Identifiera och reagera på avvikande skriptbeteenden
  • Isolera enheter vid misstänkt kommunikation med kontrollservrar
  • Ta höjd för att angrepp inte alltid involverar traditionella skadeprogramsfiler

Läs mer här.

Relaterade länkar

Ämnen

Kategorier

Kontakter

Relaterad media

Ladda ner bilder för medieanvändning

Relaterat innehåll

  • Identitetsangrepp vanligaste cyberhotet – avvikande inloggningar toppar säkerhetslarmen

    En ny rapport från Barracuda visar att attacker mot användaridentiteter är den vanligaste typen av hot som upptäcks. Inloggningar som är fysiskt omöjliga och avviker från användarens normala beteende är en av de tydligaste varningssignalerna på ett pågående intrång. Försöker en medarbetare logga in från Malmö och Hanoi nästan samtidigt är det något som måste utredas direkt.

  • Mycket hög risk att drabbas av utpressning för företag som agerar sent på e-postintrång

    En ny undersökning från Barracuda Networks visar att företag som tar mer än nio timmar på sig att hantera ett säkerhetsintrång via e-post löper 79 procent risk att bli offer för ransomware. I rapporten Email Security Breach Report 2025 framkommer också att hela 87 procent av nordiska företag (Sverige, Danmark, Norge och Finland) haft ett e-postintrång under de senaste 12 månaderna.

    Företag som är långsamma att åtgärda säkerhetsintrång via e-post löper stor risk att drabbas av ransomware.

  • AI och färdiga tjänster för nätfiske ökar antalet mejlattacker

    Vart tredje mejl är i dag oönskat eller skadligt. Samtidigt ökar angripare sina attacker med hjälp av AI och färdiga nätfisketjänster (PhaaS). Rapporten visar att 90 procent av omfattande nätfiskekampanjer använder ”phishing-as-a-service”. Det framkommer i en ny rapport från Barracuda som omfattar analys av 3,1 miljarder e-postmeddelanden.

  • Tycoon 2FA dog inte – det finns utspritt överallt

    Efter ett internationellt tillslag i början av mars minskade antalet Tycoon 2FA-kopplade phishing‑attacker med 77 procent. Men nu visar en ny analys från Barracuda hur andra aktörer snabbt tog över Tycoons marknadsandelar, omfördelade och vidareutvecklade dess verktyg, tekniker och kapacitet – och hur vissa delar, inklusive mindre kampanjer, inte förändrades alls.

  • Anställda installerar piratkopierad programvara på arbetsdatorer – trots hög risk för skadlig kod

    Säkerhetsföretaget Barracuda har vid upprepade tillfällen upptäckt att användare försöker installera piratkopierade eller manipulerade versioner av programvara på sina arbetsenheter. Samtliga fall stoppades av säkerhetstjänsten Barracuda Managed XDR innan de hann få fäste, men händelserna visar hur den här typen av mjukvara kan bli en ingång till allvarliga säkerhetsincidenter.

  • Microsoft Teams och Facebook utnyttjas i nya nätfiskeattacker

    Säkerhetsexperter på Barracuda Networks varnar för e-postbaserade attacker där välkända plattformar som Microsoft Teams och Facebook används för att lura mottagare att lämna ifrån sig inloggningsuppgifter och betalningsinformation. Hoten är ett par av flera som lyfts fram i Barracudas senaste ”Email Threat Radar”.

Fyll i din epostadress för att följa Barracuda Networks på Mynewsdesk

När du väljer att skapa ett konto och följa ett nyhetsrum kommer dina personuppgifter behandlas av Mynewsdesk och av ägaren av nyhetsrummet för att du ska kunna motta nyheter och uppdateringar enligt dina bevakningsinställningar.

För att läsa mer om detta, var vänlig läs Mynewsdesks Integritetspolicy som berör vår behandling av dina personuppgifter, och Mynewsdesks Integritetspolicy för Contacts som berör behandlingen av dina personuppgifter från ägaren av nyhetsrummet du följer.

Vänligen notera att Mynewsdesks Användarvillkor gäller alla våra tjänster.

Du kan dra tillbaka ditt samtycke när som helst genom att avregistrera dig eller genom att ta bort ditt konto.
Kolla din inkorg

Mejl skickat till __email__. Klicka på länken i mejlet för att följa Barracuda Networks.

Okej