Hackare utnyttjar företagens egna verktyg – nytt ransomwareangrepp stoppat

När man talar om cyberattacker tänker många på avancerad skadlig kod som smygs in i ett företags system. Men allt oftare använder angriparna en annan metod: att vända organisationens egna IT-verktyg mot dem.

I ett nyligen stoppat fall med ransomware-familjen Akira använde hackare strategin ”Living off the Land” (LOTL). I stället för att installera ny programvara utnyttjade de redan befintliga och fullt legitima systemverktyg för att genomföra attacken – och gömde sig därmed bakom vad som såg ut som normal IT-drift.
      Angreppet gick till så att det skedde tidigt på morgonen under en nationell helgdag, då övervakningen var som minst bemannad. Hackarna riktade in sig på en server för domänhantering – hjärtat i organisationens inloggnings- och åtkomstsystem.
      På servern fanns fjärrhanteringsverktyget Datto Remote Monitoring and Management (RMM). Genom att använda detta, i kombination med redan installerade backupklienter, kunde angriparna köra skript, ändra brandväggsinställningar och stänga av säkerhetsfunktioner. Allt såg ut som rutinmässig systemadministration – och väckte därför inga misstankar.
      Först när filer började krypteras och fick tillägget .akira slog Barracuda Managed XDR:s säkerhetssystem larm. Servern isolerades omedelbart och attacken stoppades innan den hann sprida sig vidare.

Lärdomar för företag

Fallet visar tydligt varför den här typen av attacker är så svårupptäckta:

• Inga nya program installerades – vilket gjorde att vanliga varningssignaler uteblev.
• Aktiviteten liknade normal drift av en backupklient.
• Akira sprids som en Ransomware-as-a-Service-tjänst, vilket gör varje attack unik och mer oförutsägbar.

Snabb återhämtning och stärkt säkerhet

Efter att angreppet stoppats arbetade Barracudas experter tillsammans med företaget för att isolera enheter, ta bort hotet, söka efter eventuella spår och återställa systemen. Dessutom skärptes säkerhetspolicys för att minska risken för framtida incidenter.
      För att möta den här typen av sofistikerade angrepp krävs enligt experterna heltäckande XDR-lösningar (Extended Detection and Response). De ger en helhetsbild av nätverk, servrar och enheter – och gör det möjligt att upptäcka avvikande beteenden även när de maskeras bakom till synes oskyldiga verktyg.