SharePoint-ransomwareangreb har afsløret en ny udfordring for sikkerhedsteams, efter at Microsoft opdagede to uafhængige trusselsgrupper, som opererede samtidig i det samme kompromitterede miljø. Undersøgelsen viser, at moderne cyberangreb kan overlappe hinanden i stedet for at opstå som enkeltstående hændelser. Det gør både opdagelse og håndtering langt mere kompliceret. Microsoft opfordrer derfor organisationer til at styrke patchhåndtering, identitetssikkerhed og løbende overvågning for at mindske risikoen for lignende angreb.

Microsoft opdagede parallelle indtrængen

Microsofts Detection and Response Team (DART) undersøgte en ransomwarehændelse, der ramte sårbare lokale SharePoint-servere.

Under undersøgelsen fandt eksperterne tegn på, at angriberne havde bevæget sig videre fra den oprindelige organisation til en anden virksomhed.

Efter at Microsoft underrettede den anden organisation, bekræftede virksomheden, at også den var blevet kompromitteret af ransomwaregruppen Storm-2603.

Da efterforskerne indsamlede flere beviser, gjorde Microsoft Threat Intelligence endnu en overraskende opdagelse. En anden, uafhængig trusselsaktør havde samtidig været aktiv i det samme miljø.

Forskerne forklarede, at de to kampagner forløb parallelt og ikke efter hinanden. Uden at kombinere telemetri fra identiteter, endpoints og cloudmiljøer kunne sikkerhedsteams let have opfattet aktiviteten som ét enkelt angreb og dermed overset det større kompromis.

SharePoint-sårbarheder åbnede døren

Ifølge Microsoft har Storm-2603 angrebet lokale SharePoint-servere siden midten af 2025 ved at udnytte offentligt kendte sårbarheder.

Internetforbundne SharePoint-installationer er attraktive mål, fordi de ofte indeholder værdifulde virksomhedsdata og kan give angribere adgang til resten af virksomhedens netværk.

Microsoft understreger derfor, at organisationer hurtigt bør installere sikkerhedsopdateringer, især på systemer, der er tilgængelige fra internettet.

Den anden trusselsaktør brugte andre metoder

Mens Storm-2603 fokuserede på ransomware, anvendte den anden angriber andre teknikker til at bevare langvarig adgang.

Efterforskerne fandt spor af DLL-sideloading, en metode hvor skadelig kode afvikles gennem legitim software. Angribere benytter ofte teknikken til at installere bagdøre, hente yderligere malware eller skjule sig i kompromitterede miljøer.

At to uafhængige trusselsgrupper udnyttede den samme organisation samtidig viser, at flere angribere kan misbruge de samme sårbarheder uden at koordinere deres aktiviteter.

Microsoft har ikke oplyst de økonomiske konsekvenser af hændelsen, men understreger, at overlappende angreb gør både hændelseshåndtering og gendannelse betydeligt mere kompliceret.

Microsoft anbefaler stærkere sikkerhedsstrategier

Undersøgelsen styrker Microsofts anbefaling om, at organisationer bør anvende et flerlags sikkerhedsforsvar frem for at stole på én enkelt sikkerhedsløsning.

Virksomheden anbefaler, at interneteksponerede systemer patches hurtigt, og at kendte sårbarheder bliver udbedret så hurtigt som muligt.

Microsoft anbefaler desuden, at organisationer beskytter privilegerede konti, implementerer endpoint-beskyttelse før et angreb opstår og opretholder løbende overvågning frem for kun at anvende midlertidige sikkerhedsværktøjer under et aktivt angreb.

Ved at kombinere telemetri fra endpoints, identiteter, cloudtjenester og lokal infrastruktur kan sikkerhedsteams opdage avancerede angrebsmønstre, som isolerede sikkerhedsløsninger kan overse.

Parallelle angreb bliver stadig mere almindelige

Microsoft mener, at denne sag afspejler en vigtig udvikling i det nuværende trusselsbillede. Organisationer kan ikke længere gå ud fra, at én sikkerhedshændelse kun involverer én angriber.

Når flere trusselsaktører udnytter de samme sårbarheder samtidig, skal sikkerhedsteams analysere mistænkelig aktivitet ud fra et bredere perspektiv.

Parallelle indtrængen kan indebære forskellige mål, forskellige angrebsteknikker og forskellige metoder til at fastholde adgangen. Derfor kræver de ofte separate tiltag for at stoppe og fjerne angriberne.

Det er blevet lige så vigtigt at forstå hele hændelsens omfang som at standse det første angreb.

Konklusion

Microsofts undersøgelse af SharePoint-ransomware viser, hvor komplekse moderne cyberangreb er blevet. Opdagelsen af to uafhængige trusselsgrupper, der opererede samtidig, understreger behovet for samlet synlighed på tværs af identiteter, endpoints, cloudtjenester og lokal infrastruktur.

Organisationer, der installerer sikkerhedsopdateringer hurtigt, styrker identitetssikkerheden og opretholder kontinuerlig overvågning, vil være langt bedre rustet til at opdage parallelle angreb, før angriberne opnår varig adgang.


0 svar til “SharePoint-ransomwareangreb afslører parallelle trusselskampagner”