Abonner

Hold dig opdateret med de vigtigste nyheder

Ved at trykke på knappen Abonner bekræfter du, at du har læst og accepterer vores privatlivspolitik og brugsbetingelser
Abonner
Facebook Twitter Instagram LinkedIn Pinterest
Kontakt os

Hackere bruger virksomhedsværktøjer til at undgå opdagelse – Barracuda stopper ransomware-angreb

IT-branchenvedIT-branchen
1. oktober 2025
Barracuda, Akira ransomware Barracuda, Akira ransomware
Hackere bruger virksomheders egne værktøjer til at undgå opdagelse – Barracuda stopper ransomware-angreb – Udgivet af IT-Branschen

Cyberangreb er ofte forbundet med hackere, der installerer ny og ukendt malware på offerets system. Men det behøver ikke altid at være tilfældet. I en nylig ransomware-familiesag, Akira angriberne brugte en metode kaldet At leve af jorden (LOTL). Den er baseret på brug allerede installerede og fuldt legitime IT-værktøjer at udføre angrebet – og dermed gemme sig bag det, der ligner normale IT-operationer.

Angrebet blev stoppet af Barracudas XDR-hold, og lektionerne er mange for virksomheder i alle størrelser.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--a2be199e-06f2-463b-864a-5cf79545a61a/soc-case-file-2025-9.png?width=1024&quality=95&preferwebp=true

Sådan skete angrebet

Angrebet fandt sted tidligt om morgenen på en national helligdag. Cyberkriminelle, bevæbnet med den fleksible Ransomware-som-en-tjenesteLøsningen Akira var rettet mod en domæneadministrationsserver – en central funktion til at logge ind og få adgang til filer og applikationer.

Hackere bruger virksomheders egne værktøjer til at undgå opdagelse – Barracuda stopper ransomware-angreb | IT-branchen
Reklame

Serveren havde fjernstyringsværktøjet Datto fjernovervågning og -styring (RMM) installeret.

I stedet for at installere ny malware udnyttede angriberne RMM-konsollen sammen med tidligere installerede backupklienter til at køre scripts, ændre firewallindstillinger og deaktivere sikkerhedsfunktioner – handlinger, der lignede rutinemæssig systemadministration og derfor ikke gav anledning til mistanke.

Da filerne senere begyndte at blive krypteret og modtog filendelsen .akira opdaget Barracuda Managed XDR straks de første krypteringsforsøg. Serveren blev øjeblikkeligt isoleret, og angrebet blev stoppet, før det kunne sprede sig.

Lærdomme fra angrebet

  1. Angriberne installerede ikke nye programmer, der ville have udløst advarselssignaler, men brugte i stedet allerede betroede værktøjer.
  2. Aktiviteten lignede det, en backupklient normalt ville gøre, hvilket gjorde angrebet sværere at skelne fra et almindeligt angreb. IT-drift.
  3. Akira er en Ransomware-som-en-tjenesteløsning, der udlejes til forskellige aktører. Derfor ser hvert angreb forskelligt ud, hvilket gør truslen vanskeligere at forudsige.

Restaurering og genopretning

Efter at angrebet var stoppet, Barracudas hold med kunden for at isolere berørte enheder, fjerne truslerne, scanne for eventuelle resterende spor af Akira og gendanne systemerne sikkert.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--8bcef93e-8415-4c83-bab4-ea7f152922b4/soc-case-files-tools-techniques-0925.png?width=1024&quality=95&preferwebp=true

I næste trin blev sikkerhedspolitikkerne styrket for at reducere risikoen for lignende hændelser i fremtiden.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--44d788ac-769c-4731-99d2-f060b3d38a0d/soc-case-files0925-iocs.png?width=1024&quality=95&preferwebp=true

For at imødegå denne type sofistikerede angreb kræves omfattende XDR-løsninger hvilket giver sikkerhedsteams fuldt overblik over netværk, servere og enheder. Dette gør det muligt at opdage unormal adfærd tidligt – selv når den er skjult bag allerede installerede værktøjer.

Dele
Dele
Fastgør det
Tweet
Dele
Dele
IT-branchenvedIT-branchen
Udgivet

Hold dig opdateret med de vigtigste nyheder

Ved at trykke på knappen Abonner bekræfter du, at du har læst og accepterer vores privatlivspolitik og brugsbetingelser
Hostinger reklamebanner
Reklame

LÆS MERE