Cyberangrepp förknippas ofta med att hackare installerar ny och okänd skadlig kod i offrets system. Men så behöver det inte alltid vara. I ett nyligen stoppat fall med ransomware-familjen Akira använde angriparna en metod kallad Living off the Land (LOTL). Den går ut på att utnyttja redan installerade och fullt legitima IT-verktyg för att genomföra attacken – och på så vis dölja sig bakom vad som ser ut som helt vanlig IT-drift.
Angreppet stoppades av Barracudas XDR-team, och lärdomarna är många för företag av alla storlekar.

Så gick attacken till
Angreppet skedde tidigt på morgonen under en nationell helgdag. Cyberkriminella, beväpnade med den flexibla Ransomware-as-a-Service-lösningen Akira, riktade in sig på en server för domänhantering – en central funktion för inloggning och åtkomst till filer och applikationer.
På servern fanns fjärrhanteringsverktyget Datto Remote Monitoring and Management (RMM) installerat.
I stället för att installera ny skadlig kod utnyttjade angriparna RMM-konsolen tillsammans med tidigare installerade backupklienter. På så sätt kunde de köra skript, ändra brandväggsinställningar och stänga av säkerhetsfunktioner – åtgärder som såg ut som rutinmässig systemadministration och därför inte väckte misstankar.
När filerna senare började krypteras och fick tillägget .akira upptäckte Barracuda Managed XDR direkt de första krypteringsförsöken. Servern isolerades omedelbart och attacken stoppades innan den hann sprida sig.
Lärdomar från angreppet
- Angriparna installerade inga nya program som skulle ha utlöst varningssignaler, utan använde redan betrodda verktyg.
- Aktiviteten liknade vad en backupklient normalt kan göra, vilket gjorde attacken svårare att skilja från vanlig IT-drift.
- Akira är en Ransomware-as-a-Service-lösning som hyrs ut till olika aktörer. Därför ser varje angrepp olika ut, vilket gör hotet mer svårförutsägbart.
Återställning och återhämtning
Efter att attacken stoppats samarbetade Barracudas team med kunden för att isolera drabbade enheter, ta bort hoten, söka efter eventuella kvarvarande spår av Akira och återställa systemen på ett säkert sätt.

I nästa steg förstärktes säkerhetspolicys för att minska risken för liknande incidenter i framtiden.

För att möta den här typen av sofistikerade angrepp krävs heltäckande XDR-lösningar som ger säkerhetsteamen full överblick över nätverk, servrar och enheter. Det gör det möjligt att upptäcka avvikande beteenden tidigt – även när de döljs bakom redan installerade verktyg.