Välkommen till IT-Branschen – Kanalen för IT-nyheter, Cybersäkerhet och Digitala Trender

För Företag, Leverantörer och Beslutsfattare i IT-Branschen

Digital strategi och insikter för beslutsfattare inom IT-branschen

Prenumerera

Håll dig uppdaterad med de viktigaste nyheterna

Genom att trycka på knappen Prenumerera bekräftar du att du har läst och godkänner vår integritetspolicy och användarvillkor
Prenumerera
Facebook Twitter Instagram Linkedin Pinterest
Kontakta oss

Hackare använder företagens egna verktyg för att undgå upptäckt – Barracuda stoppar ransomware-attack

IT-BranschenbyIT-Branschen
oktober 1, 2025

Cyberangrepp förknippas ofta med att hackare installerar ny och okänd skadlig kod i offrets system. Men så behöver det inte alltid vara. I ett nyligen stoppat fall med ransomware-familjen Akira använde angriparna en metod kallad Living off the Land (LOTL). Den går ut på att utnyttja redan installerade och fullt legitima IT-verktyg för att genomföra attacken – och på så vis dölja sig bakom vad som ser ut som helt vanlig IT-drift.

Angreppet stoppades av Barracudas XDR-team, och lärdomarna är många för företag av alla storlekar.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--a2be199e-06f2-463b-864a-5cf79545a61a/soc-case-file-2025-9.png?width=1024&quality=95&preferwebp=true

Så gick attacken till

Angreppet skedde tidigt på morgonen under en nationell helgdag. Cyberkriminella, beväpnade med den flexibla Ransomware-as-a-Service-lösningen Akira, riktade in sig på en server för domänhantering – en central funktion för inloggning och åtkomst till filer och applikationer.

Annons

På servern fanns fjärrhanteringsverktyget Datto Remote Monitoring and Management (RMM) installerat.

I stället för att installera ny skadlig kod utnyttjade angriparna RMM-konsolen tillsammans med tidigare installerade backupklienter. På så sätt kunde de köra skript, ändra brandväggsinställningar och stänga av säkerhetsfunktioner – åtgärder som såg ut som rutinmässig systemadministration och därför inte väckte misstankar.

När filerna senare började krypteras och fick tillägget .akira upptäckte Barracuda Managed XDR direkt de första krypteringsförsöken. Servern isolerades omedelbart och attacken stoppades innan den hann sprida sig.

Lärdomar från angreppet

  1. Angriparna installerade inga nya program som skulle ha utlöst varningssignaler, utan använde redan betrodda verktyg.
  2. Aktiviteten liknade vad en backupklient normalt kan göra, vilket gjorde attacken svårare att skilja från vanlig IT-drift.
  3. Akira är en Ransomware-as-a-Service-lösning som hyrs ut till olika aktörer. Därför ser varje angrepp olika ut, vilket gör hotet mer svårförutsägbart.

Återställning och återhämtning

Efter att attacken stoppats samarbetade Barracudas team med kunden för att isolera drabbade enheter, ta bort hoten, söka efter eventuella kvarvarande spår av Akira och återställa systemen på ett säkert sätt.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--8bcef93e-8415-4c83-bab4-ea7f152922b4/soc-case-files-tools-techniques-0925.png?width=1024&quality=95&preferwebp=true

I nästa steg förstärktes säkerhetspolicys för att minska risken för liknande incidenter i framtiden.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--44d788ac-769c-4731-99d2-f060b3d38a0d/soc-case-files0925-iocs.png?width=1024&quality=95&preferwebp=true

För att möta den här typen av sofistikerade angrepp krävs heltäckande XDR-lösningar som ger säkerhetsteamen full överblick över nätverk, servrar och enheter. Det gör det möjligt att upptäcka avvikande beteenden tidigt – även när de döljs bakom redan installerade verktyg.

Share
Share
Pin it
Tweet
Share
Share
IT-BranschenbyIT-Branschen
Published

Håll dig uppdaterad med de viktigaste nyheterna

Genom att trycka på knappen Prenumerera bekräftar du att du har läst och godkänner vår integritetspolicy och användarvillkor
convendum-banner
Annons

LÄS MER