Med bättre säkerhetsåtgärder, höjd beredskap och fungerande backup blir det svårare att ”hacka” sig in i systemen. Det förklarar den nya vågen av cyberattacker där syftet är att störa ut verksamheten hos offren.
IT-säkerhetsföretaget Palo Alto Networks har sammanfattat resultat och slutsatser från sitt arbete med cyberincidenter under det gångna året. I den nya rapporten 2025 Global Incident Response Report avslöjar forskargruppen Unit 42 hur hotaktörerna har ändrat sin strategi och teknik.
En tydlig trend är angripare som främst går in för att störa verksamheten hos offren. 86% av de säkerhetsincidenter som Unit 42 har utrett under 2024 medförde driftstopp, skadat förtroende för den drabbade organisationen, eller både och. Även attacker som utnyttjar AI och insiderhot är på stark uppgång.
Bakgrunden till att störningar blivit ett primärt syfte är enligt Unit 42 att traditionella utpressningsattacker (ransomware) inte längre är lika effektiva. Med ett förstärkt digitalt skalskydd blir det svårare att ”hacka” sig in i system, samtidigt som företag och myndigheter skaffat sig en bättre beredskap för cyberattacker.
Ransomware-aktörer har som regel först tagit sig in i system för att kryptera och därmed låsa offrets data. Attackerna som Unit 42 analyserar i den nya rapporten visar att traditionell säkerhetskopiering (backup) blir alltmer effektivt för att återskapa filer – det visade sig möjligt i nästan hälften av fallen.
Följden är att utpressarna inte nöjer sig med att kryptera filer, utan även stjäl stora mängder data för att sedan hota med att läcka ut känsliga uppgifter. Enligt Unit 42 sker datastölderna nu allt snabbare – i många fall börjar nedladdningen redan inom en timme efter ett intrång.
2025 Global Incident Response Report går på djupet med hotaktörernas senaste taktik och tillvägagångssätt Den nya rapporten bygger på analyser av över 500 större säkerhetsincidenter i 38 länder där Unit 42 har medverkat.
Exempel på innehåll och slutsatser i rapporten:
- Det går allt snabbare för angripare att stjäla data efter ett intrång. I nästan 20% av fallen börjar det inom en timme, tre gånger snabbare jämfört med 2021.
- Omfattningen och effekten av AI-assisterade attacker, liksom andra nya verktyg och taktiska knep som hotaktörer utnyttjar.
- Insiderhot blir vanligare. Ett uppmärksammat insiderhot är de nordkoreanska agenter som anlitas som konsulter eller anställs som systemutvecklare - dessa tredubblades under 2024.
- Kraven höjs på lösensumma vid utpressningsattacker. Medianvärdet för begärt belopp ökade med nästan 80 % till motsvarande 13,3 miljoner kr (från 7,4 miljoner kr 2023).
- Vid 70% av säkerhetsincidenterna där Unit 42 varit engagerade förekom hot riktade mot tre eller flera fronter. Detta understryker behovet av samtidigt skydda alla delar av IT-miljön: från slutpunkter, nätverk och molntjänster till den mänskliga faktorn.
- Webbläsare utgör en stor sårbarhet – 44% av säkerhetsincidenterna handlade om cyberhot som aktiverats eller möjliggjordes genom medarbetares webbläsare via nätfiske, farliga länkar eller nedladdning av skadlig programvara.
- Nätfiske (phishing) är återigen den vanligaste ingångsvägen för intrång – 23% av attackerna började med nätfiske. Storskaliga phishingattacker underlättas av AI-tjänster som också gör det svårare att upptäcka och försvara sig mot dem.
Källa: Palo Alto Networks