Hur angreppet faktiskt kommer in
Den 3 juli 2026 avslöjade forskarna Nevan Beal och Sam Decker från Blackpoint Cyber tillsammans med Palo Alto Networks Unit 42 ett tidigare okänt modulärt ramverk som de kallade Avalon. Det kommer inte som en uppenbar bilaga. Kedjan börjar med ett e-postmeddelande som härmar ett juridiskt dokument och skickar mottagaren till ett lösenordsskyddat arkiv på Proton Drive, och skadekoden färdas i en ISO-skivavbild i stället för en fil som e-postgatewayen skulle granska.
Att öppna avbilden monterar den som en enhet, och en Windows-genväg utklädd till dokument kör MSBuild, ett legitimt Microsoft-verktyg, för att ladda inbäddad kod som först manipulerar Windows händelseloggning och sedan hämtar Avalon. Nästan allt kör i minnet och lämnar få spår på disken. Provet laddades upp till VirusTotal den 11 mars 2026 och fick inte en enda träff på omkring fyra månader.
Det går först på återställningslagret
Det som skiljer Avalon från vanlig utpressningskod är ordningen. Före all kryptering samlar ramverket in inloggningsuppgifter från webbläsare, lösenordsvalv och VPN-, SSH- och wifi-profiler och rör sig sedan lateralt mot precis det som skulle möjliggöra återställning: domänkontrollanter, virtualiseringsvärdar som vCenter och Hyper-V och backupplattformar som Veeam, Acronis, NetApp och Synology. På vägen raderar det Windows skuggkopior.
Först när återställningslagret är utslaget krypterar CrownX-modulen filerna med autentiserad AES-GCM-kryptografi. Ramverket bär också egna rutiner för att gömma sig från nio namngivna produkter: Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee och Bitdefender. Den obekväma poängen är inte att det finns ännu en utpressningskod; det är att den är byggd för att göra standardsvaret, vi bara återställer, falskt redan innan krypteringen börjar.
Vad detta ändrar för en operatör
Den praktiska lärdomen beror inte på vilket slutpunktsmärke du kör. När ett verktyg är byggt just för att blända nio av dem och radera backuperna först, blir detektion ett lager och inte garantin, och kontrollen som fortfarande fungerar är en kopia som angriparen inte kan nå. Det betyder minst en oföränderlig eller frånkopplad kopia som inte ens en komprometterad domänadministratör kan radera, och en återställning du faktiskt har testat detta kvartal och inte bara antagit.
Två detaljer höjer insatsen för europeiska operatörer. Tre av de nio kringgångna verktygen, Sophos, ESET och Bitdefender, är europeiska stöttepelare, så en stor del av regionen använder just de produkter som verktyget finjusterades mot. Och forskarna ser tecken på AI-stödd utveckling, vilket sänker tiden och kunnandet en grupp behöver för att bygga något så skiktat, så mer är på väg. Under NIS2 ligger ansvaret för att hantera det hos den utsedda ledningen, inte bara hos säkerhetsteamet.
Läs vidare: Ett enda leverantörsintrång låg bakom hälften av Europas ransomware-offer | Jailbreak-risk får nu ett allvarsbetyg



