Kyberturvallisuus

Hakkerit käyttävät yritystyökaluja välttääkseen havaitsemisen – Barracuda pysäytti kiristysohjelmahyökkäyksen

kirjoittanutIT-ala

1. lokakuuta 2025

Hackare använder företagens egna verktyg för att undgå upptäckt – Barracuda stoppar ransomware-attack – Publicerad av IT-Branschen

Kyberhyökkäykset liittyvät usein siihen, että hakkerit asentavat uhrin järjestelmään uusia ja tuntemattomia haittaohjelmia. Näin ei kuitenkaan aina tarvitse olla. Eräässä äskettäisessä kiristysohjelmarikkomukseen liittyvässä perheoikeudenkäynnissä Akira Hyökkääjät käyttivät menetelmää ns. Eläminen maasta (LOTL). Se perustuu käyttää jo asennettuja ja täysin laillisia IT-työkaluja toteuttaakseen hyökkäyksen – ja siten piiloutuakseen näennäisesti normaalin IT-toiminnan taakse.

Hyökkäys pysäytettiin, Barracudan XDR-tiimi, ja opetuksia on paljon kaikenkokoisia yrityksiä.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--a2be199e-06f2-463b-864a-5cf79545a61a/soc-case-file-2025-9.png?width=1024&quality=95&preferwebp=true

Näin hyökkäys tapahtui

Hyökkäys tapahtui aikaisin aamulla kansallisena vapaapäivänä. Kyberrikolliset, varustettuna joustavalla Kiristysohjelmat palvelunaAkira-ratkaisu kohdisti kohteekseen verkkotunnusten hallintapalvelimen – keskeisen toiminnon sisäänkirjautumiseen ja tiedostojen ja sovellusten käyttämiseen.

Palvelimella oli etähallintatyökalu Datto-etävalvonta ja -hallinta (RMM) asennettu.

Uuden haittaohjelman asentamisen sijaan hyökkääjät hyödynsivät RMM-konsolia ja aiemmin asennettuja varmuuskopiointiohjelmia komentosarjojen suorittamiseen, palomuurin asetusten muuttamiseen ja suojausominaisuuksien poistamiseen käytöstä – toimet, jotka näyttivät rutiininomaiselta järjestelmänvalvojalta eivätkä siksi herättäneet epäilyksiä.

Kun tiedostot myöhemmin alettiin salata ja ne saivat tiedostopäätteen .akira löydetty Barracudan hallinnoima XDR heti ensimmäisten salausyritysten jälkeen. Palvelin eristettiin välittömästi ja hyökkäys pysäytettiin ennen kuin se ehti levitä.

Hyökkäyksen opetukset

Hyökkääjät eivät asentaneet uusia ohjelmia, jotka olisivat laukaisseet varoitussignaaleja, vaan käyttivät jo luotettuja työkaluja.
Toiminta oli samanlaista kuin mitä varmuuskopioasiakasohjelma normaalisti tekisi, minkä vuoksi hyökkäystä oli vaikeampi erottaa tavallisesta hyökkäyksestä. IT-toiminnot.
Akira on Kiristysohjelmat palvelunaratkaisu, jota vuokrataan eri toimijoille. Siksi jokainen hyökkäys näyttää erilaiselta, mikä vaikeuttaa uhkan ennustamista.

Palautuminen ja toipuminen

Hyökkäyksen pysäyttämisen jälkeen, Barracudan joukkue asiakkaan kanssa eristääkseen tartunnan saaneet laitteet, poistaakseen uhat, etsiäkseen jäljellä olevia Akiran jälkiä ja palauttaakseen järjestelmät turvallisesti.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--8bcef93e-8415-4c83-bab4-ea7f152922b4/soc-case-files-tools-techniques-0925.png?width=1024&quality=95&preferwebp=true

Seuraavassa vaiheessa vahvistettiin turvallisuuskäytäntöjä vastaavien tapausten riskin vähentämiseksi tulevaisuudessa.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--44d788ac-769c-4731-99d2-f060b3d38a0d/soc-case-files0925-iocs.png?width=1024&quality=95&preferwebp=true

Tämän tyyppisen hienostuneen hyökkäyksen torjumiseksi vaaditaan kattavasti XDR-ratkaisut joka antaa turvallisuustiimeille Täydellinen yleiskuva verkoista, palvelimista ja laitteista. Tämä mahdollistaa poikkeavan toiminnan havaitsemisen varhaisessa vaiheessa – jopa silloin, kun ne ovat piilossa jo asennettujen työkalujen takana.