Cyberbeveiliging

Hackers gebruiken bedrijfstools om detectie te ontwijken – Barracuda stopt ransomware-aanval

1 oktober 2025

Cyberaanvallen worden vaak geassocieerd met hackers die nieuwe en onbekende malware op het systeem van het slachtoffer installeren. Maar dat hoeft niet altijd het geval te zijn. In een recent geval van een ransomware-familie, Akira de aanvallers gebruikten een methode genaamd Leven van het land (LOTL). Het is gebaseerd op gebruik maken van reeds geïnstalleerde en volledig legitieme IT-tools om de aanval uit te voeren – en zich zo te verschuilen achter wat op normale IT-operaties lijkt.

De aanval werd gestopt door Het XDR-team van Barracuda, en de lessen zijn talrijk voor bedrijven van alle omvang.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--a2be199e-06f2-463b-864a-5cf79545a61a/soc-case-file-2025-9.png?width=1024&quality=95&preferwebp=true

Zo verliep de aanval

De aanval vond plaats in de vroege ochtend op een nationale feestdag. Cybercriminelen, gewapend met de flexibele Ransomware-as-a-ServiceDe oplossing, Akira, richtte zich op een domeinbeheerserver: een centrale functie voor het inloggen en openen van bestanden en applicaties.

De server had het hulpmiddel voor beheer op afstand Datto Remote Monitoring en Management (RMM) geïnstalleerd.

In plaats van nieuwe malware te installeren, maakten de aanvallers gebruik van de RMM-console en eerder geïnstalleerde back-upclients om scripts uit te voeren, firewallinstellingen te wijzigen en beveiligingsfuncties uit te schakelen. Deze acties leken op routinematige systeemadministratie en wekten daarom geen argwaan.

Toen de bestanden later werden gecodeerd en de extensie kregen .akira ontdekt Barracuda Beheerde XDR Direct na de eerste encryptiepogingen. De server werd onmiddellijk geïsoleerd en de aanval werd gestopt voordat deze zich kon verspreiden.

Lessen uit de aanval

De aanvallers installeerden geen nieuwe programma's die waarschuwingssignalen zouden activeren, maar maakten in plaats daarvan gebruik van reeds vertrouwde tools.
De activiteit leek op wat een back-upclient normaal gesproken zou doen, waardoor de aanval moeilijker te onderscheiden was van normale IT-activiteiten.
Akira is een Ransomware-as-a-ServiceEen oplossing die aan verschillende actoren wordt verhuurd. Daardoor ziet elke aanval er anders uit, wat de dreiging moeilijker te voorspellen maakt.

Herstel en herstel

Nadat de aanval was gestopt, Het team van Barracuda samen met de klant om de getroffen apparaten te isoleren, de bedreigingen te verwijderen, te scannen op resterende sporen van Akira en de systemen veilig te herstellen.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--8bcef93e-8415-4c83-bab4-ea7f152922b4/soc-case-files-tools-techniques-0925.png?width=1024&quality=95&preferwebp=true

In de volgende stap werden de beveiligingsmaatregelen aangescherpt om het risico op soortgelijke incidenten in de toekomst te verkleinen.

https://blog.barracuda.com/adobe/dynamicmedia/deliver/dm-aid--44d788ac-769c-4731-99d2-f060b3d38a0d/soc-case-files0925-iocs.png?width=1024&quality=95&preferwebp=true

Om dit soort geavanceerde aanvallen tegen te gaan uitgebreid vereist XDR-oplossingen wat beveiligingsteams biedt Volledig overzicht van netwerken, servers en apparaten. Dit maakt het mogelijk om afwijkend gedrag vroegtijdig te detecteren – zelfs wanneer het verborgen zit achter reeds geïnstalleerde tools.