All blogs
Cyber Security
6
min read

Heading

En ny våg av ransomwareattacker i molnet visar hur cyberkriminella stjäl och raderar data från Microsoft Entra ID-miljöer innan de kräver lösensumma. Grupper som Storm-0501 visar hur snabbt dessa metoder utvecklas. Den här bloggen förklarar hur attackerna går till, varför traditionella skydd inte räcker – och vilka åtgärder er organisation bör vidta för att förbli säker.
Published on
September 24, 2025

En nylig våg av attacker har avslöjat hur sårbara molnmiljöer faktiskt kan vara. En grupp cyberkriminella som tidigare var kända för att använda ransomware i lokala nätverk har nu helt skiftat fokus till molnet. Deras metod är systematisk: först exfiltrerar de alla filer från molnmiljön, därefter raderar de data och säkerhetskopior steg för steg. Först efter detta kräver de en lösensumma för att lämna tillbaka informationen.

För att få åtkomst skapar angriparna ett falskt domännamn inom Microsoft Entra ID, vilket gör det möjligt för dem att logga in som i princip vilken användare som helst. Väl inne kartlägger de noggrant känsliga datalagringsytor och backup-platser som Azure Blob Storage. När datan har laddats ned raderar de all lagring och alla säkerhetskopior.Om vissa resurser är skyddade går angriparna istället över till att kryptera filer och försöker radera de tillhörande nycklarna. I sällsynta fall bevaras nycklarna tack vare inställningar för oföränderlighet och ”soft delete”-policyer – men skadorna är oftast omfattande.

Hur fungerar denna ransomware i molnet?

Taktiken som används av denna grupp skiljer sig markant från traditionell ransomware. Viktiga kännetecken inkluderar:

  • Skifte till molnet: I stället för att kryptera enskilda enheter exfiltrerar angriparna stora datamängder via molntjänster och förstör säkerhetskopior. Ingen klassisk skadlig kod används – pressen uppstår genom den till synes oåterkalleliga dataförlusten.
  • Bakdörr via federerad domän: Genom att lägga till en skadlig domän i Entra ID-klienten och använda självsignerade certifikat kan angriparna utfärda SAML-token och utge sig för att vara nästan vilken användare som helst.
  • Missbruk av behörigheter: Efter inloggning eskalerar angriparna sina rättigheter med ett enda API-anrop genom att tilldela sig själva rollen “User Access Administrator”. Därefter befordrar de sig själva till “Owner” i samtliga Azure-prenumerationer – vilket ger fullständig åtkomst.
  • Massradering och kryptering: När datan har kopierats används vanliga Azure-API:er för att radera snapshots, återställningspunkter och lagringskonton. Om resurser är skyddade med lås eller oföränderlighetspolicys tas dessa bort först. Därefter skapas ett nytt Key Vault med en krypteringsnyckel som kontrolleras av angriparen, för att kryptera eventuell kvarvarande lagring.

Det räcker med ett oskyddat konto eller en bortglömd server för att utlösa denna attackkedja. Kombinationen av djup molnkompetens och utnyttjande av legitima funktioner gör dessa attacker svåra att upptäcka.

Viktiga överväganden för er molnsäkerhet

Denna föränderliga attackmodell kräver ett flerskiktat försvar. DataExpert rekommenderar följande åtgärder:

  • Aktivera Multi-Faktorautentisering (MFA): MFA ska vara obligatoriskt för alla konton och administrationsportaler. I de analyserade incidenterna möjliggjorde ett enda konto utan MFA att angriparen kunde eskalera sina rättigheter.
  • Kontinuerlig patchning och uppdatering: Håll operativsystem, VPN-lösningar och molnkomponenter uppdaterade för att eliminera kända sårbarheter.
  • Tillämpa principen om minsta möjliga behörighet: Ge endast den åtkomst som verkligen behövs – både till användare och tjänstekonton. Övervaka lösenordsåterställningar och ändringar i roller noggrant.
  • Skapa oföränderliga säkerhetskopior: Säkerställ att säkerhetskopior inte kan ändras eller raderas. Förvara dem offline eller i en separat tenant, och testa återställningsförfaranden regelbundet.
  • Övervaka loggar och API-aktivitet: Spåra rolltilldelningar, åtgärder i Key Vault och ändringar i lagring. Sätt upp varningar för oväntade behörighetshöjningar eller massraderingar.
  • Investera i medvetenhet och incidenthantering: Utbilda personalen i att känna igen nätfiske och social manipulation. Ha en testad incidenthanteringsplan redo för att kunna agera snabbt vid ett angrepp.

DataExperts SOC-övervakning för molnmiljöer

Även med ovanstående skyddsåtgärder på plats är kontinuerlig övervakning avgörande. DataExpert erbjuder ett Security Operations Center (SOC) som övervakar era system och molnmiljö dygnet runt. Våra säkerhetsanalytiker identifierar misstänkta inloggningar, avvikande API-anrop och förändringar i behörigheter – och agerar innan angripare hinner orsaka skada.

Vi erbjuder sektorspecifik övervakning anpassad för följande områden:

  • Vård och omsorg: Genom vårt samarbete med Zorg Detectie Netwerk (ZDN) övervakar vi hot riktade mot sjukhus och vårdgivare, och tillhandahåller en säkerhetsinfrastruktur som passar sektorns krav.
  • Industri och OT: När operativ teknik (OT) och IT närmar sig varandra identifierar vi sårbara kopplingar och erbjuder kontinuerlig övervakning över både OT- och IT-system.
  • Logistik: Leveranskedjor är känsliga för störningar. Tidig hotdetektion hjälper till att förhindra att en enskild komprometterad länk påverkar hela kedjan.
  • Offentlig sektor: Vårt SOC samarbetar med Nationaal Cyber Security Centrum och Cyberveilig Nederland. Vi är insatta i ramverk som BIO och BIG och övervakar redan flera offentliga miljöer.

Genom att kombinera denna sektorspecifika kunskap med avancerade verktyg kan vi identifiera tidiga varningssignaler för attacker som Storm 0501 – såsom bakdörrar, behörighetshöjningar och massraderingar – vilket gör det möjligt för oss att ingripa i tid.

Hur DataExpert kan hjälpa till

Förutom molnövervakning erbjuder DataExpert ett komplett tjänsteutbud för att stärka er motståndskraft:

  • Managed Security Awareness Training – Utbildar personalen i att stå emot nätfiske och social manipulation.
  • Incident Response Support – Våra specialister hjälper er att begränsa, utreda och återhämta er från incidenter.
  • Rådgivning inom regelefterlevnad och cybersäkerhetsstrategi – Vi vägleder er i att implementera krav enligt NIS2, BIO och BIG, samt i att bygga en hållbar cybersäkerhetsarkitektur.

Vill ni veta hur vår SOC-tjänst för molnövervakning kan skydda er organisation mot den nya generationens ransomwareattacker i molnet?Kontakta våra experter – vi hjälper er att kartlägga riskerna och visar hur våra lösningar säkrar er molnmiljö.

Kontakta oss
Blog

Insights That Strengthen Your Defense

Insights from our experts on threats, response and resilience.

View all
This is some text inside of a div block.
DataExpert
September 24, 2025
2
min read

När ert SOC blir en verklig säkerhetspartner

Alla SOC-enheter ger inte verkligt stöd när det verkligen gäller. Vissa vidarebefordrar bara varningar – andra hjälper er att agera. I den här bloggen tittar vi på vad som skiljer en sann SOC-partner från mängden: kontext, närvaro och förmågan att omvandla signaler till beslut. För cybersäkerhet handlar inte bara om detektion – det handlar om att veta vem som står vid er sida när det verkligen behövs.
Read blog
View all

More blogs?

Want to stay ahead of the next incident? Explore more insights.

Read more
Tagline

Ladda ner e-boken: Återvunnet förtroende

Hur forensiska utredningar leder till bättre detektion och smartare förberedelser.

Innehåller:

5 lärdomar från intrångsutredningar

Vanliga blinda fläckar i IT- och OT-nätverk

Minska larmslitage genom kontextuell detektion

Från live-detektion till revisionsberedskap

Trust Restored. Control Reclaimed.

Learn how organizations regain control after a cyber incident through forensic clarity, proven response, and audit-ready assurance..

DataExpert uses your data to send you the requested information and possibly contact you by email or phone. You can unsubscribe at any time. For more information, please read our privacy statement.

Protecting Today.
Securing Tomorrow.

Local experts across Europe support you before, during and after a cyber incident—no call centers, no delays. From detection to recovery, we're there when it matters. Always close. Always committed.

No items found.

Benelux

DACH

Poland

Nordics