13-10-2025

Hackere bruger virksomhedens egne værktøjer for at undgå opdagelse

Cyberangreb forbindes ofte med, at hackere installerer ny og ukendt skadelig kode i offerets system. Men sådan behøver det ikke altid være. I et nyligt afværget tilfælde med ransomware-familien Akira anvendte angriberne en metode kaldet “Living off the Land” (LOTL).
Metoden går ud på at udnytte allerede installerede og fuldt legitime IT-værktøjer til at gennemføre angrebet – og på den måde gemme sig bag aktiviteter, der ligner helt almindelig IT-drift.

Angrebet blev stoppet af Barracudas XDR-team, og erfaringerne er mange – både for store og små virksomheder, oplyser selskabet.

Sådan foregik angrebet

Angrebet fandt sted tidligt om morgenen under en national helligdag.

De cyberkriminelle, der benyttede den fleksible Ransomware-as-a-Service-løsning Akira, rettede sig mod en domænestyringsserver – en central funktion for login og adgang til filer og applikationer.

På serveren var der installeret fjernadministrationsværktøjet Datto Remote Monitoring and Management (RMM). I stedet for at installere ny skadelig kode udnyttede angriberne RMM-konsollen sammen med allerede installerede backup-klienter.

På den måde kunne de køre scripts, ændre firewall-indstillinger og deaktivere sikkerhedsfunktioner – alt sammen handlinger, der lignede rutinemæssig systemadministration og derfor ikke vakte mistanke.

Da filerne senere begyndte at blive krypteret og fik filendelsen .akira, opdagede Barracuda Managed XDR straks de første krypteringsforsøg.

Serveren blev øjeblikkeligt isoleret, og angrebet blev standset, inden det kunne sprede sig.

Lærdomme fra angrebet

• Angriberne installerede ingen nye programmer, som kunne have udløst advarsler, men brugte allerede betroede værktøjer.

• Aktiviteten lignede præcis, hvad en backup-klient normalt foretager sig, hvilket gjorde angrebet langt sværere at skelne fra almindelig IT-drift.

• Akira er en Ransomware-as-a-Service-løsning, der udlejes til forskellige aktører.

Derfor ser hvert enkelt angreb forskelligt ud, hvilket gør truslen mere uforudsigelig.

Gendannelse og genopretning

Efter at angrebet blev stoppet, samarbejdede Barracudas team med kunden om at isolere de berørte enheder, fjerne truslerne, søge efter eventuelle rester af Akira og gendanne systemerne på en sikker måde.

I næste fase blev sikkerhedspolitikkerne styrket for at reducere risikoen for lignende hændelser i fremtiden. Ifølge virksomheden kræver denne type sofistikerede angreb omfattende XDR-løsninger (Extended Detection and Response), som giver sikkerhedsteams fuldt overblik over netværk, servere og enheder.

Det gør det muligt at opdage afvigende adfærd tidligt – også når aktiviteten skjuler sig bag allerede installerede og legitime værktøjer, understreger Barracuda.