Cyberangrepp behöver inte börja med ny skadlig kod. I ett nyligen stoppat fall utnyttjade angripare företagets egna fjärrhanterings- och backupverktyg för att genomföra en attack, enligt Barracuda Networks i en nyhet på Mynewsdesk. Problemet: aktiviteten ser ut som normal IT-drift och undgår traditionella varningssystem. Lösningen: beteendebaserad övervakning och snabb incidentrespons som kan isolera drabbade system.
Så gick attacken till
Angreppet skedde tidigt på morgonen under en nationell helgdag. Aktörer med Ransomware-as-a-Service-lösningen Akira riktade in sig på en server för domänhantering där fjärrverktyget Datto Remote Monitoring and Management (RMM) fanns installerat. I stället för att lägga in ny kod använde angriparna RMM-konsolen och redan installerade backupklienter för att köra skript, ändra brandväggsregler och stänga av säkerhetsfunktioner – åtgärder som framstod som rutinmässig administration.
När filer började krypteras och fick filtillägget .akira identifierade Barracuda Managed XDR de första försöken. Servern isolerades omedelbart och attacken stoppades innan den hann sprida sig.
Lärdomar och åtgärder
Angriparna installerade inga nya program som skulle trigga klassiska larm. Aktiviteten liknade vad en backupklient kan göra, vilket försvårade upptäckt. Eftersom Akira hyrs ut som RaaS varierar tillvägagångssätten mellan incidenter, vilket ökar oförutsägbarheten.
Efter stoppad attack hjälpte Barracudas team till att isolera drabbade enheter, ta bort hot, genomföra hotjakt efter kvarvarande spår och återställa systemen säkert. I nästa steg skärptes säkerhetspolicys. Enligt Barracuda Networks krävs heltäckande XDR-lösningar som ger överblick över nätverk, servrar och enheter för att upptäcka avvikande beteenden tidigt – även när de maskeras bakom legitima verktyg.
