Hvordan angrebet faktisk ankommer

Den 3. juli 2026 offentliggjorde forskerne Nevan Beal og Sam Decker fra Blackpoint Cyber sammen med Palo Alto Networks Unit 42 et hidtil ukendt modulært framework, som de kaldte Avalon. Det ankommer ikke som en oplagt vedhæftet fil. Kæden starter med en e-mail, der efterligner et juridisk dokument og sender modtageren til et adgangskodebeskyttet arkiv på Proton Drive, og den skadelige kode rejser inde i et ISO-diskbillede i stedet for en fil, som mailgatewayen ville scanne.

At åbne billedet monterer det som et drev, og en Windows-genvej forklædt som et dokument kører MSBuild, et legitimt Microsoft-værktøj, for at indlæse indlejret kode, der først manipulerer Windows-hændelseslogningen og derefter henter Avalon. Næsten alt kører i hukommelsen og efterlader få spor på disken. Prøven blev uploadet til VirusTotal den 11. marts 2026 og fik ikke en eneste detektion i cirka fire måneder.

Det går først efter genoprettelseslaget

Det, der adskiller Avalon fra almindelig ransomware, er rækkefølgen. Før nogen kryptering samler frameworket loginoplysninger fra browsere, adgangskodelagre og VPN-, SSH- og wi-fi-profiler og bevæger sig derefter lateralt mod netop det, der ville muliggøre genoprettelse: domænecontrollere, virtualiseringsværter som vCenter og Hyper-V og backupplatforme som Veeam, Acronis, NetApp og Synology. Undervejs sletter det Windows-skyggekopierne.

Først når genoprettelseslaget er sat ud af spillet, krypterer CrownX-modulet filerne med autentificeret AES-GCM-kryptografi. Frameworket medbringer også egne rutiner for at skjule sig for ni navngivne produkter: Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee og Bitdefender. Den ubehagelige pointe er ikke, at der findes endnu en ransomware; det er, at denne er bygget til at gøre standardsvaret, vi genskaber bare, falsk allerede før krypteringen begynder.

Hvad det ændrer for en operatør

Den praktiske lære afhænger ikke af, hvilket endpointmærke du kører. Når et værktøj er bygget specifikt til at blinde ni af dem og slette backuppene først, bliver detektion et lag og ikke garantien, og den kontrol, der stadig virker, er en kopi, som angriberen ikke kan nå. Det betyder mindst en uforanderlig eller offline kopi, som selv en kompromitteret domæneadministrator ikke kan slette, og en genoprettelse, du faktisk har testet i dette kvartal og ikke bare antaget.

To detaljer hæver indsatsen for europæiske operatører. Tre af de ni omgåede værktøjer, Sophos, ESET og Bitdefender, er europæiske støttepiller, så en stor del af regionen bruger netop de produkter, dette værktøj blev finjusteret imod. Og forskerne ser tegn på AI-støttet udvikling, hvilket sænker den tid og kunnen, en gruppe skal bruge for at bygge noget så lagdelt, så mere er på vej. Under NIS2 ligger ansvaret for at håndtere det hos den udpegede ledelse, ikke kun hos sikkerhedsteamet.