För MSP & IT-beslutsfattare

    Så stoppar Acronis en ransomware-attack. Steg för steg.

    Vi följer en riktig attack från Akira - en av världens farligaste ransomware-grupper - och visar var Acronis stoppar varje steg.

    Verklig attack, ej teori
    7 attacksteg analyserade
    Källa: FBI · CISA
    Pågående attack
    Live-simulering
    Aktör
    Akira ransomware
    Tid till datastöld: < 2 timmar
    Acronis stoppar redan vid steg 1. Varje lager nedan är en ny chans att stänga attacken.
    Måndag morgon · 08:47

    Är ni redo för det här samtalet?

    Så här låter det när Akira just har slagit till hos er största kund.

    Klockan är 08:50. Akira har redan varit inne i nätverket i 11 dagar.

    Frågan är inte om samtalet kommer - utan om ni är förberedda när det gör det.

    Vem är angriparen

    Möt Akira

    Aktivt globalt hot
    $0M
    Utpressat från företag sedan 2023
    + $0 just i denna session
    Snittlösen~ $1,5M
    KällaFBI · CISA

    En av världens mest lönsamma ransomware-grupper just nu.

    #0
    Världstvåa 2026
    TrendFrån #4 (2024)
    MålMid-market & enterprise

    Växer snabbt. Riktar sig mot mellanstora och stora företag.

    < 0h
    Tid till datastöld
    Median53 minuter
    Snabbast bekräftat19 minuter

    Akira hinner ofta stjäla data innan ert säkerhetsteam ens hunnit reagera.

    Akira är inte bara en hackergrupp - det är en hel organisation. Tekniker, säljare och förhandlare arbetar parallellt. För att stoppa dem behöver ni täckning på alla nivåer.

    01Inbrottet

    Så får angriparen sin första nyckel.

    1. 1
      En falsk Microsoft-inloggning lurar användaren att lämna ifrån sig lösenordet.
    2. 2
      Med kontot kommer angriparen åt Microsoft 365 och era delade ytor.
    3. 3
      Skadliga filer läggs i SharePoint - de ser interna ut.
    4. 4
      Kollegor klickar och ger ifrån sig sina lösenord. Angriparen får bredare åtkomst.
    Inkorg
    Microsoft Security09:14
    Verifiera ditt lösenord - kontot är låst
    Vi upptäckte misstänklig aktivitet. Klicka här för att låsa upp ditt Microsoft 365-konto inom 24 timmar...
    avsändare: security-microsoft@mail-verify-365.cn
    Blockerat
    Email & Collaboration Security stoppar mejlet innan det når inkorgen.
    02Smyger i nätet

    Använder era egna verktyg mot er.

    Akira använder helt vanliga IT-verktyg som redan finns hos er. Det gör dem svåra att upptäcka.

    Lateral movement - live
    $
    $
    Risknivå: kritisk0%

    Kartlägger nätet

    Vanliga IT-verktyg kartlägger ert nätverk i tysthet.

    > 10.0.1.42 [DC01]
    > 10.0.1.55 [FILE-SRV]
    > 10.0.2.78 [BACKUP]
    217 hosts
    mappade
    Spaning pågår0%

    Hoppar mellan system

    Windows-verktyg flyttar angriparen mellan servrar.

    RDPPsExecWMISMB
    [INTERNAL] Inga larm utlösta
    Spridning0%

    Stjäl lösenord

    Lösenord plockas ut ur Active Directory.

    47hashes extraherade
    Eskalering0%
    2 843 s
    Tid spenderad i nätet
    0
    Detekterat av legacy AV
    3
    Skapade backdoor-konton
    03Slår ut försvaret

    Så stänger angriparen ner ert skydd.

    Windows Defender stängs av med ett kommando.
    PowerTool tvångsavslutar EDR-processer.
    BYOVD kringgår endpoint protection.
    Körs kvällar och helger, när larmen inte övervakas.
    Defense kill chain - rekonstruktion
    00 / 04
    1. 02:14:03Defender disabled...
    2. 02:14:47EDR process killed...
    3. 02:15:12Vulnerable driver loaded...
    4. 02:15:38Security logs cleared...
    akira-c2 @ DC01-AD ~ #
    $
    $
    $
    $
    MITRE ATT&CKT1562.001Disable or Modify ToolsT1068Privilege EscalationT1070.001Indicator RemovalT1078Valid Accounts
    Skyddet faller

    Larmen är avstängda. Angriparen jobbar ostört i timmar.

    Larmen igår natt
    Lör 02:14:12
    - Ingen säkerhetsanalytiker på plats.

    Ett larm utan någon som lyssnar är värdelöst. Det som gör skillnad är att larmet inte går att stänga av - och att någon faktiskt svarar.

    "Akira affiliates have been observed disabling endpoint detection tooling within minutes of initial access, often during weekends and overnight hours."

    - FBI · CISA Joint Advisory, 2024
    04Stjäl datan

    Det verkliga vapnet.

    rclone exfil → mega.io
    PID 4127
    0.00 TB/ 2.30 TB
    Speed
    310 MB/s
    Filer
    0
    ETA
    00:09
    Live filfeed
    Potentiell GDPR-böter (4% av oms.)
    € 2 847 000
    Klockan börjar ticka i samma sekund datan lämnar nätverket.
    Mål
    Allt av värde
    Personuppgifter
    Kontrakt
    Källkod
    Finansdata

    Allt som kan användas för att pressa er att betala.

    Affärsmodell
    Dubbel utpressning
    ~ 70%
    Betalar
    $1,5M
    Snittlösen

    Två fakturor per attack: en för att låsa upp filerna, en för att inte läcka dem.

    Kanaler
    Vanliga molntjänster
    Mega.ioRcloneFileZillaWinSCPMASSCAN

    Datan smugglas ut via tjänster ni redan litar på. Brandväggen ser inget konstigt.

    Stulen data är det riktiga hotet idag. Backup räddar driften - men inte läckaget. När datan är ute börjar GDPR-klockan ticka.

    Räkna på era GDPR-böter
    05Förstör backuperna

    Målet: ni ska inte ha något val.

    Akira förstör alla era backuper innan krypteringen startar. Antingen betalar ni - eller förlorar allt.

    Backup-status - LIVE
    0 / 12 förstörda
    Skyddsgrad100%
    DC01-AD
    12 min sedan
    FILE-SRV
    47 min sedan
    SQL-PROD
    8 min sedan
    EXCH-MBX
    23 min sedan
    NAS-01
    1h 5m sedan
    NAS-02
    1h 11m sedan
    VEEAM-REPO
    5 min sedan
    TAPE-LIB
    3h 0m sedan
    WEB-PROD
    17 min sedan
    DEV-DB
    39 min sedan
    BACKUP-SRV
    3 min sedan
    ARCHIVE-VOL
    3h 40m sedan
    OK Stale Failed
    1.2 TB raderat
    Immutable Cloud
    HEALTHY
    0 % intakta
    Air-gapped
    Senaste lyckade4 min sedan
    Återställningar/dygn847 OK
    RPO< 15 min
    01

    Raderar skuggkopior

    Windows återställningspunkter raderas.

    Ingen lokal återställning
    02

    Slår ut backupservrar

    Lokala backupservrar attackeras.

    NAS, tape, lokala kopior slås ut
    03

    Krypterar allt

    Ransomware rullas ut över systemen.

    Filer låses, lösenkravet visas
    FÖRSVAR

    Låsta molnbackuper

    Separata från nätet. Kan inte raderas - inte ens av admin.

    Ni kan alltid återställa
    06Slår tillbaka

    Så stoppar ni angriparen mitt i attacken.

    En konsoll. En agent

    En enda konsol och en agent per dator. Ni ser allt på samma ställe.

    Stoppar processer

    Stoppa misstänkta program och olovliga anslutningar direkt.

    Isolerar maskiner

    Klipp angriparens anslutningar och stäng av drabbade maskiner från nätverket - med ett klick.

    Utan en samlad plattform jagar ni angriparen blint, över hundratals datorer, med olika verktyg. När varje sekund räknas är spridda system angriparens bästa vän.

    Acronis XDR + RMM tillsammans
    Auto-spelas
    Upptäckt
    0:02s
    Bedömning
    0:30s
    Isolering
    1:10s
    Återställd
    08:00
    07Tillbaka i drift

    Från backup till drift på minuter.

    Förlust just nu - utan reservmiljö
    € 12 847
    Verksamheten står still. Varje sekund av nedtid kostar lön, missade order, SLA-böter och förlorat förtroende.
    Med Acronis Disaster Recovery
    € 1 240
    Reservmiljön startar inom minuter. Blödningen stoppas innan kunderna ens märker något.
    Drift även under attack
    Acronis Disaster Recovery

    Servrarna startas direkt från molnbackupen. Tillgängliga inom minuter - inte dagar.
    VPN-anslutningar sätts upp från reservmiljön till era kontor.
    Leverantörer kan logga in direkt i reservmiljön.
    Verksamheten rullar vidare medan ni bygger om miljön i bakgrunden.
    Affärspåverkan
    Tiden avgör.

    Skillnaden mellan minuter och dagar av nedtid.

    RTO
    Minuter
    Tid till drift
    Tillbaka i drift
    Fil → VM
    Från enskild fil till hel server
    Plattform
    I EU
    Geo-redundant moln
    Test
    Test-failover
    Testas innan krisen kommer
    Hela stacken

    Därför fungerar den som en helhet.

    Varje lager skickar signaler. MDR-teamet kopplar ihop dem och agerar dygnet runt. Tillsammans får angriparen ingenstans att gömma sig.

    7 / 7
    Faser täckta
    Hela attackkedjan i ett system.
    1
    Konsol & agent
    Inget verktygsbyte mitt i krisen.
    24/7
    Aktiv respons
    MDR-teamet ser allt och agerar.
    Minuter
    Till drift
    Reservmiljö från låst molnbackup.
    Lager Acronis-produkt Kapacitet Fas som täcks
    Endpoint Acronis XDR Upptäckt, skydd, beteendetelemetri Fas 2, 3, 4, 5
    Drift & incidentrespons Acronis RMM Fjärrhantering, patchning, incidentrespons Fas 6
    E-post & samarbete Email & Collaboration Security Stoppar nätfiske och skadlig kod i e-post och delade ytor Fas 1
    Tillbaka i drift Backup + Disaster Recovery Molnbackup, snabb uppstart, VPN från reservmiljön Fas 5, 7
    Övervakning 24/7 MDR Integration Larm-analys och aktiv respons dygnet runt Alla faser
    Viktiga insikter

    Sex saker att ta med sig.

    1

    Skydda dörren in

    Nätfiske är den vanligaste vägen in. E-postskydd är inte förhandlingsbart.

    2

    Tillbaka i drift = minskad affärspåverkan

    Angripare använder era egna verktyg. Bara beteendeanalys avslöjar dem.

    3

    Datastöld är det verkliga hotet

    Kryptering är inte värst. Stulen data ger GDPR-böter och långvarig ryktesskada.

    Räkna på böterna
    4

    Håll backuperna utom räckhåll

    Det de inte kan nå kan de inte förstöra. Låsta molnbackuper är er sista livlina.

    5

    En agent. Full överblick.

    En samlad plattform ger ert team farten och överblicken som krävs för att stoppa attacken.

    6

    Tillbaka i drift = affärspåverkan

    Varje timme av nedtid kostar pengar. Reservmiljön håller er igång medan ni bygger om i bakgrunden.

    Kostnadsfri playbook
    Skärmdump av Akira ransomware-gruppens terminalskärm. Grön monospace-text på svart bakgrund med rubriken AKIRA i pixelart. Texten lyder: Well, you are here. It means that you're suffering from cyber incident right now. Think of our actions as an unscheduled forced audit of your network for vulnerabilities. Keep in mind that there is a fair price to make it all go away. Do not rush to assess what is happening - we did it to you. The best thing you can do is to follow our instructions to get back to your daily routine. Those who choose different path will be shamed here publicly. Remember. You are unable to recover without our help. Your data is already gone. Nedanför finns en kommandolista: leaks, news, contact, help, clear.

    Kör samma playbook som våra partners vid 03:14

    Steg-för-steg incident response byggd på den battle-testade stacken. Gratis PDF, utan fluff.

    Välj din region
    För MSP & återförsäljare

    Skydda era kunder med Gridheart × Acronis.

    En stridstestad stack från Nordens Acronis-distributör. Igång på minuter - inte månader.

    För slutkunder

    Vill du ha den här stacken i er verksamhet?

    Gridheart jobbar via utvalda återförsäljare. Vi sätter er i kontakt med en partner som passar er bransch och storlek.