SharePoint-ransomwareangrep har avdekket en ny utfordring for hendelseshåndtering etter at Microsoft oppdaget to uavhengige trusselgrupper som opererte samtidig i det samme kompromitterte miljøet. Undersøkelsen viser at moderne cyberangrep kan overlappe hverandre i stedet for å skje som enkeltstående hendelser. Det gjør både oppdagelse og håndtering langt mer krevende. Microsoft oppfordrer derfor organisasjoner til å styrke patching, identitetssikkerhet og kontinuerlig overvåking for å redusere risikoen for lignende angrep.

Microsoft oppdaget parallelle inntrengninger

Microsofts Detection and Response Team (DART) undersøkte en ransomwarehendelse som rammet sårbare lokale SharePoint-servere.

Under etterforskningen fant ekspertene tegn på at angriperne hadde beveget seg videre fra den opprinnelige organisasjonen til en annen virksomhet.

Etter at Microsoft varslet den andre organisasjonen, bekreftet selskapet at også den var kompromittert av ransomwaregruppen Storm-2603.

Da etterforskerne samlet inn flere bevis, oppdaget Microsoft Threat Intelligence enda en overraskelse. En annen, urelatert trusselaktør hadde samtidig operert i det samme miljøet.

Forskerne forklarte at de to kampanjene foregikk parallelt, og ikke etter hverandre. Uten å kombinere telemetri fra identiteter, endepunkter og skytjenester kunne sikkerhetsteamene ha oppfattet aktiviteten som ett enkelt angrep og oversett det større kompromisset.

SharePoint-sårbarheter åpnet døren

Ifølge Microsoft har Storm-2603 rettet angrep mot lokale SharePoint-servere siden midten av 2025 ved å utnytte offentlig kjente sårbarheter.

Internett-tilgjengelige SharePoint-installasjoner er attraktive mål fordi de ofte inneholder verdifulle forretningsdata og kan gi angripere en inngang til resten av virksomhetens nettverk.

Microsoft understreker derfor at organisasjoner bør installere sikkerhetsoppdateringer raskt, spesielt på systemer som er tilgjengelige fra internett.

Den andre trusselaktøren brukte andre metoder

Mens Storm-2603 fokuserte på ransomware, benyttet den andre angriperen andre teknikker for å opprettholde langvarig tilgang.

Etterforskerne fant spor av DLL-sideloading, en metode der ondsinnet kode kjøres gjennom legitim programvare. Angripere bruker ofte denne teknikken til å installere bakdører, laste inn ekstra skadevare eller skjule seg i kompromitterte miljøer.

At to uavhengige trusselgrupper utnyttet den samme organisasjonen samtidig, viser at flere angripere kan misbruke de samme sårbarhetene uten å samarbeide.

Microsoft har ikke oppgitt de økonomiske konsekvensene av hendelsen, men understreker at overlappende angrep gjør både hendelseshåndtering og gjenoppretting betydelig mer komplisert.

Microsoft anbefaler sterkere sikkerhetstiltak

Undersøkelsen styrker Microsofts anbefaling om at organisasjoner bør bygge et flerlags sikkerhetsforsvar i stedet for å stole på ett enkelt sikkerhetstiltak.

Selskapet anbefaler at virksomheter prioriterer rask patching av internett-eksponerte systemer og utbedrer kjente sårbarheter så snart som mulig.

Microsoft oppfordrer også organisasjoner til å beskytte privilegerte kontoer, innføre endpoint-beskyttelse før en hendelse oppstår og opprettholde kontinuerlig overvåking fremfor å ta i bruk midlertidige sikkerhetsverktøy først når et angrep allerede er i gang.

Ved å kombinere telemetri fra endepunkter, identiteter, skytjenester og lokal infrastruktur kan sikkerhetsteam oppdage komplekse angrepsmønstre som ellers kan gå under radaren.

Parallelle angrep blir stadig vanligere

Microsoft mener denne saken illustrerer en viktig endring i dagens trusselbilde. Organisasjoner kan ikke lenger ta for gitt at én sikkerhetshendelse bare involverer én angriper.

Når flere trusselaktører utnytter de samme sårbarhetene samtidig, må sikkerhetsteam analysere mistenkelig aktivitet med et bredere perspektiv.

Parallelle inntrengninger kan innebære ulike mål, forskjellige angrepsmetoder og egne mekanismer for vedvarende tilgang. Derfor krever de ofte separate tiltak for å stanse og rydde opp etter angriperne.

Å forstå hele omfanget av en hendelse har blitt like viktig som å stoppe det første angrepet.

Konklusjon

Microsofts etterforskning av SharePoint-ransomware viser hvor komplekse moderne cyberangrep har blitt. Oppdagelsen av to uavhengige trusselgrupper som opererte samtidig understreker behovet for samlet innsikt på tvers av identiteter, endepunkter, skytjenester og lokal infrastruktur.

Organisasjoner som installerer sikkerhetsoppdateringer raskt, styrker identitetssikkerheten og opprettholder kontinuerlig overvåking, vil være langt bedre rustet til å oppdage parallelle angrep før angriperne etablerer varig tilgang.


0 responses to “SharePoint-ransomwareangrep avslører parallelle trusselkampanjer”