Cybersicherheit

Hacker nutzen Unternehmenstools, um der Entdeckung zu entgehen – Barracuda stoppt Ransomware-Angriff

1. Oktober 2025

Cyberangriffe sind oft damit verbunden, dass Hacker neue und unbekannte Schadsoftware auf dem System des Opfers installieren. Doch das muss nicht immer der Fall sein. In einem aktuellen Fall einer Ransomware-Familie Akira Die Angreifer verwendeten eine Methode namens Leben vom Land (LOTL). Es basiert auf bereits installierte und völlig legitime IT-Tools nutzen um den Angriff durchzuführen – und sich so hinter dem zu verstecken, was wie ein normaler IT-Betrieb aussieht.

Der Angriff wurde gestoppt durch Barracudas XDR-Team, und es gibt viele Lektionen für Unternehmen jeder Größe.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--a2be199e-06f2-463b-864a-5cf79545a61a/soc-case-file-2025-9.png?width=1024&quality=95&preferwebp=true

So kam es zum Angriff

Der Angriff ereignete sich am frühen Morgen eines nationalen Feiertags. Cyberkriminelle, bewaffnet mit der flexiblen Ransomware-as-a-ServiceDie Lösung Akira zielte auf einen Domänenverwaltungsserver ab – eine zentrale Funktion für die Anmeldung und den Zugriff auf Dateien und Anwendungen.

Der Server verfügte über das Remote-Management-Tool Datto Remote-Überwachung und -Verwaltung (RMM) installiert.

Anstatt neue Malware zu installieren, nutzten die Angreifer die RMM-Konsole zusammen mit zuvor installierten Backup-Clients, um Skripte auszuführen, Firewall-Einstellungen zu ändern und Sicherheitsfunktionen zu deaktivieren – Aktionen, die wie routinemäßige Systemadministration aussahen und daher keinen Verdacht erregten.

Als die Dateien später verschlüsselt wurden und die Erweiterung erhielten .akira entdeckt Barracuda Managed XDR sofort die ersten Verschlüsselungsversuche. Der Server wurde umgehend isoliert und der Angriff gestoppt, bevor er sich ausbreiten konnte.

Lehren aus dem Angriff

Die Angreifer installierten keine neuen Programme, die Warnsignale ausgelöst hätten, sondern nutzten bereits bewährte Tools.
Die Aktivität ähnelte der eines Backup-Clients, sodass der Angriff schwieriger von normalen IT-Vorgängen zu unterscheiden ist.
Akira ist ein Ransomware-as-a-ServiceLösung, die an verschiedene Akteure vermietet wird. Daher sieht jeder Angriff anders aus, was die Bedrohung schwieriger vorherzusagen macht.

Wiederherstellung und Wiederherstellung

Nachdem der Angriff gestoppt wurde, Barracudas Team mit dem Kunden, um betroffene Geräte zu isolieren, die Bedrohungen zu entfernen, nach verbleibenden Spuren von Akira zu suchen und die Systeme sicher wiederherzustellen.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--8bcef93e-8415-4c83-bab4-ea7f152922b4/soc-case-files-tools-techniques-0925.png?width=1024&quality=95&preferwebp=true

Im nächsten Schritt wurden die Sicherheitsrichtlinien verschärft, um das Risiko ähnlicher Vorfälle in der Zukunft zu verringern.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--44d788ac-769c-4731-99d2-f060b3d38a0d/soc-case-files0925-iocs.png?width=1024&quality=95&preferwebp=true

Um dieser Art von ausgeklügelten Angriffen entgegenzuwirken umfassend erforderlich XDR-Lösungen die Sicherheitsteams Vollständiger Überblick über Netzwerke, Server und Geräte. Dadurch können anomales Verhalten frühzeitig erkannt werden – auch wenn es sich hinter bereits installierten Tools verbirgt.