Hoppa till innehåll

Var uppmärksam på administrationsverktyg – ökad användning av hotaktörer


Publicerat:

Har du koll på vilken legitim programvara som körs i din miljö? Angripare och hotaktörer använder sig i allt större utsträckning av programvara som TeamViewer och Simple Help. Detta är verktyg som i vanliga fall används för att administrera intern IT och underlätta arbetet för administratörer och helpdesk i organisationer runt om i världen. Nu används de av hotaktörer för att utföra skadliga attacker.

I vår SOC, Security Operation Center, i Göteborg jobbar våra cyber security analytiker dygnet runt, året om för att identifiera och agera på hot i våra kunders miljöer. Den senaste tiden har vi uppmärksammat att angripare i allt större utsträckning använder sig av legitim mjukvara för att undgå att bli upptäckta.

Denna typ av mjukvara, ofta kallad Remote monitoring and management (RMM), används för fjärrövervakning och fjärrhantering av IT-administratörer och helpdesks för att administrera nätverk och stötta användare. Fördelen med RMM är att den ofta är väldigt kraftfull och enkel att använda för att spara tid för interna resurser, nackdelen är att den på samma sätt kan möjliggöra för hotaktörer att snabbt agera och utföra attacker i sina offers miljöer.

Att angripare använder sig av legitim programvara på det här sättet är inget nytt och har noterats länge, men att vi nu ser det i ökat omfång betyder att organisationer behöver lägga ökat fokus på att hålla koll på vad för verktyg som används i sin miljö.

Hur märker jag om jag har blivit attackerad?

Undersök om det finns RMM mjukvara i ert nätverk som ni som organisation inte använder. Om det finns programvara som är installerat och inte används av IT-enheten, så finns det en risk att ni har blivit attackerade. Gå igenom vilka legitima programvaror som dina medarbetare ska använda sig av enligt er policy och säkerställ att det är det är dessa som är installerade. Övriga installerade programvaror, som inte är legitima, kan vara en indikator att en angripare har hälsat på.

Vad händer om hotaktörer använder RMM?

Användningen av programvaran kan liknas med vad en legitim IT-administratör eller helpdesk skulle använda programvaran för, men för dåliga syften. T ex så kan en angripare använda det för att installera mer skadlig programvara, stjäla känslig information eller spionera på vad användaren gör.

Har du rätt skydd?

NTT arbetar kontinuerligt med organisationer på strategisk, taktisk och operativ nivå för att bygga säker arkitektur, skapa rätt visibilitet för detektion och effektiva möjligheter att agera när hot upptäcks i alla typer av miljöer. Vår Managed Detection and Response (MDR)-tjänst hjälper din organisation att upptäcka hot som är svåra att hitta och vi stoppar komplexa och sofistikerade cyberattacker, bland annat genom Machine Learning och Threat Intelligence.

Vill du veta hur vi kan hjälpa din organisation?

Vårt säkerhetscenter i Göteborg är bemannat med några av Nordens främsta säkerhetsanalytiker. Vi hjälper våra kunder med att tidigt upptäcka, förebygga och respondera på cyberhot.