SharePoint-ransomwareattacker har avslöjat en ny utmaning för incidenthanterare efter att Microsoft upptäckt två oberoende hotgrupper som opererade samtidigt i samma komprometterade miljö. Utredningen visar att moderna cyberattacker kan överlappa varandra i stället för att inträffa som enskilda incidenter, vilket gör både upptäckt och begränsning betydligt svårare. Microsoft uppmanar nu organisationer att stärka patchhantering, identitetsskydd och kontinuerlig övervakning för att minska risken för liknande intrång.
Microsoft upptäckte parallella intrång
Microsofts Detection and Response Team (DART) utredde en ransomwareincident som drabbade sårbara lokala SharePoint-servrar.
Under utredningen hittade experterna tecken på att angriparna hade tagit sig vidare från den ursprungliga organisationen till en annan verksamhet.
Efter att Microsoft informerat den andra organisationen bekräftades att även den hade komprometterats av ransomwaregruppen Storm-2603.
När utredarna samlade in mer bevismaterial upptäckte Microsoft Threat Intelligence ytterligare en överraskning. En annan, oberoende hotaktör hade samtidigt varit aktiv i samma miljö.
Forskarna konstaterade att de båda kampanjerna pågick parallellt och inte efter varandra. Utan att kombinera telemetri från identiteter, klienter och molntjänster hade säkerhetsteam sannolikt tolkat aktiviteten som ett enda angrepp och missat den större komprometteringen.
SharePoint-sårbarheter öppnade vägen
Enligt Microsoft har Storm-2603 riktat in sig på lokala SharePoint-servrar sedan mitten av 2025 genom att utnyttja publikt kända sårbarheter.
Internetanslutna SharePoint-installationer är attraktiva mål eftersom de ofta innehåller värdefull affärsinformation och kan ge angripare en väg vidare in i företagets nätverk.
Microsoft betonar därför vikten av att snabbt installera säkerhetsuppdateringar, särskilt på system som är åtkomliga från internet.
Den andra hotgruppen använde andra metoder
Medan Storm-2603 fokuserade på ransomware använde den andra angriparen helt andra tekniker för att behålla åtkomsten under längre tid.
Utredarna hittade spår av DLL-sideloading, en metod där skadlig kod körs via betrodd programvara. Cyberkriminella använder ofta tekniken för att installera bakdörrar, distribuera ytterligare skadeprogram eller gömma sig i komprometterade miljöer.
Att två oberoende hotgrupper kunde utnyttja samma organisation visar att flera angripare kan rikta in sig på samma sårbarheter utan att samarbeta.
Microsoft har inte offentliggjort den ekonomiska påverkan, men konstaterar att överlappande attacker gör både incidenthantering och återställning betydligt mer komplicerade.
Microsoft rekommenderar ett starkare skydd
Utredningen stärker Microsofts rekommendation om att organisationer bör använda ett flerskiktat säkerhetsskydd i stället för att förlita sig på en enskild säkerhetslösning.
Företaget rekommenderar att verksamheter snabbt installerar säkerhetsuppdateringar på internetexponerade system och åtgärdar kända sårbarheter så snart som möjligt.
Microsoft uppmanar också organisationer att skydda privilegierade konton, införa endpointskydd innan en incident inträffar och använda kontinuerlig övervakning i stället för tillfälliga säkerhetsverktyg som införs först under ett pågående intrång.
Genom att kombinera telemetri från klienter, identiteter, molntjänster och lokal infrastruktur kan säkerhetsteam upptäcka avancerade attackmönster som annars riskerar att förbli dolda.
Parallella attacker blir allt vanligare
Microsoft anser att fallet speglar en viktig förändring i dagens hotlandskap. Organisationer kan inte längre utgå från att en säkerhetsincident endast involverar en angripare.
När flera hotaktörer samtidigt utnyttjar samma sårbarheter måste säkerhetsteam analysera misstänkt aktivitet ur ett bredare perspektiv.
Parallella intrång kan innebära olika mål, olika angreppsmetoder och olika mekanismer för att behålla åtkomst. Därför kräver de ofta separata åtgärder för att stoppa och rensa bort angriparna.
Att förstå hela omfattningen av en incident har blivit minst lika viktigt som att stoppa det första angreppet.
Slutsats
Microsofts utredning av SharePoint-ransomware visar hur dagens cyberattacker blir allt mer komplexa. Upptäckten av två oberoende hotgrupper som opererade samtidigt understryker behovet av samlad insyn i identiteter, klienter, molntjänster och lokal infrastruktur.
Organisationer som snabbt installerar säkerhetsuppdateringar, stärker identitetsskyddet och bedriver kontinuerlig övervakning har betydligt bättre möjligheter att upptäcka parallella angrepp innan cyberkriminella etablerar långvarig åtkomst.


0 svar till ”SharePoint-ransomwareattacker avslöjar parallella cyberkampanjer”