Identitetsangrepp vanligaste cyberhotet – avvikande inloggningar toppar säkerhetslarmen

En ny rapport från Barracuda visar att attacker mot användaridentiteter är den vanligaste typen av hot som upptäcks. Inloggningar som är fysiskt omöjliga och avviker från användarens normala beteende är en av de tydligaste varningssignalerna på ett pågående intrång. Försöker en medarbetare logga in från Malmö och Hanoi nästan samtidigt är det något som måste utredas direkt.

​

Cyberangripare riktar i stor utsträckning in sig på användaridentiteter. Den vanligaste typen av säkerhetslarm under det senaste året var inloggningar som avviker från användarens normala beteende – till exempel från en ny geografisk plats, en okänd enhet eller vid en ovanlig tidpunkt. Det visar Barracuda Managed XDR Global Threat Report som bygger på analys av över två biljoner IT-händelser och nära 600 000 säkerhetslarm.

​

Går inte att vara i Malmö och Hanoi samtidigt

Rapporten visar att attacker mot identiteter och identitetssäkerhet ligger högst upp på listan över upptäckta hot. I topp finns avvikande inloggningar i Microsoft 365 samt så kallade impossible travel-händelser, där samma konto loggar in från två platser inom en tidsram som gör resan fysiskt omöjlig. Den typen av avvikelser är en stark indikator på stulna inloggningsuppgifter och komprometterade konton.

​

– Organisationer behöver i dag utgå från att användarkontot är en av de viktigaste vägarna in i IT-miljön. En användare som försöker logga in från en plats, med en enhet eller vid en tidpunkt som inte stämmer med det normala beteendet är en tydlig varningssignal som måste utredas omedelbart, säger Yaz Bekkar, Principal Consulting Architect XDR – EMEA, Barracuda Networks.

​

Kapade konton smälter in i normal IT-aktivitet

Enligt rapporten är den här typen av avvikelser svåra att upptäcka eftersom angripare använder legitima verktyg och efterliknar normal IT-aktivitet. Ett kapat konto kan därför se ut som en vanlig användare – tills det avvikande beteendemönstret analyseras i detalj.

​

De mest frekventa larmen kopplade till kapade konton är:

​

• avvikande inloggningar i Microsoft 365 (”anomalous login”) – 42 859 händelser
• så kallad ”impossible travel” i Microsoft 365 – 22 343 händelser
• inloggningsförsök kopplade till kontoövertagande – 5 131 händelser

​

Samtidigt visar rapporten att hot som upptäcks och stoppas i datorer, mobiler och andra fysiska enheter, till exempel av SentinelOne, också hör till de vanligaste larmen i verksamheters IT-miljöer.

​

Tillsammans pekar dessa indikatorer på att angripare redan har fått eller försöker få tillgång till ett konto och använder det för att röra sig vidare i miljön, utöka sina rättigheter eller kringgå säkerhetskontroller.

​

– Angripare behöver bara hitta en enda svag punkt för att lyckas. Det kan handla om ett konto som inte har stängts ned, en felkonfigurerad säkerhetsinställning eller en enhet som saknar skydd. För organisationer med begränsade resurser och många separata säkerhetsverktyg är det en stor utmaning att upptäcka detta i tid, avslutar Yaz Bekkar.

​

Så kan man stärka identitetsskyddet

Rapporten lyfter fram flera åtgärder som snabbt minskar risken för intrång:

• använd multifaktorautentisering (MFA)
• kontrollera tilldelning och förändringar av behörigheter
• övervaka avvikande beteenden och misstänkta inloggningar
• använd en integrerad säkerhetsplattform med full överblick över nätverk, enheter, servrar, molnlagring och e-post

​

Syftet med rapporten är att hjälpa organisationer, särskilt de med begränsade säkerhetsresurser, att förstå hur attacker genomförs i praktiken och vilka säkerhetsluckor som utnyttjas.

​

Kort om studien

Resultaten bygger på det omfattande datamaterial som samlats in via Barracuda Managed XDR under 2025: mer än två biljoner IT-händelser, nära 600 000 säkerhetslarm och över 300 000 skyddade enheter, brandväggar, servrar och molnresurser.

​

Källa: Barracuda