Verizon DBIR 2025: Ökande hot och trender i cybersäkerhet

Verizon Data Breach Investigations Report (DBIR) 2025

Varje år sedan 2008 släpper den amerikanska telekomjätten Verizon sin Data Breach Investigations Report (DBIR). Rapporten kommer ut en gång om året och analyserar tiotusentals attacker från hela världen för att ge organisationer en bättre insikt av aktuella cyberhot.

Årets rapport analyserat ca 22 000 incidenter och 12 195 bekräftade dataintrång från 139 länder. Trenden för denna rapport och år är tydlig: ökat beroende av tredjepartsleverantörer, fortsatt fokus på utnyttjande av sårbarheter samt mänskliga misstag.

Statistiken pekar på hur utnyttjande av sårbarheter håller på att gå ikapp användning av stulna inloggningar som den vanligaste vägen in för angripare i IT-system.

  • 20% av alla intrång började med att angripare utnyttjade sårbarheter: en ökning på 34% jämfört med förra året
  • Framför allt attackerades edge-enheter och VPN:er, vilket ökade nästan åttafaldigt

Vi kan även se att ransomware fortsätter att dominera:

  • 44 % av alla dataintrång involverade ransomware, upp från 32 % året innan
  • Medianbeloppet som betalades i lösensummor minskade till cirka 1,1 miljon SEK
  • Dessutom vägrade 64 % av offren att betala överhuvudtaget vilket är positivt

Små och medelstora företag är särskilt utsatta för ransomware hela då 88% av rapporterade intrång involverade ransomware.

En dramatisk ökning gällande cybersäkerhet som relaterar tredjepartsleverantörer:

  • 30 % av alla intrång involverade tredjepartsleverantörer (jämfört med 15 % året innan).

Incidenter som utnyttjade data som kom via Snowflake och sårbarheter i MOVEit visar att tredjepartsrelationer måste granskas hårdare ur ett säkerhetsperspektiv.

Trots all teknik så förblir vi människor tyvärr en stor svaghet:

  • Cirka 60 % av intrången involverade mänskligt beteende, som klick på phishinglänkar eller felaktig hantering av känslig data.

Credential reuse och informationsläckor via publika kodrepon, särskilt GitHub, bidrar till fortsatt höga siffror.

Att använda privata enheter (BYOD) i jobbet har en mörk baksida visar också rapporten:

  • 46 % av systemen som läckte företagsinloggningar var icke-hanterade enheter (dvs använder ej MDM, mobile device management)
  • 54 % av ransomware-offren hade sina företagsdomäner exponerade i credential dumps

En tydlig signal för organisationer förbättra styrningen av BYOD och hantering av behörigheter/hemligheter.

En annan sak vi kan se i rapporten är att intrång motiverade av spionage växer kraftigt:

  • 17 % av intrången hade spionagemotiv, nästan en fördubbling jämfört med tidigare år
  • 70 % av dessa spionageangrepp började med utnyttjande av sårbarhet

Och ovan tycker jag visar på att det inte bara är pengar som driver hotaktörer, är viktigt att poängtera.

Generativ AI (GenAI) har inte revolutionerat cyberhotlandskapet ännu, men vi kan se en liten påverkan:

  • Antalet skadliga e-postmeddelanden som skrivits med hjälp av AI har fördubblats på två år
  • 15% av anställda använder GenAI på sina företagsenheter, ofta utan tillräcklig säkerhetskontroll. Kanske även så saknas det en policy för hur AI får användas?

Det tyder således på en stor risk för dataläckage via GenAI-tjänster såsom ChatGPT.

Rapporten i sin helhet på 117 sidor går att ladda hem som PDF via Verizons hemsida här:

Verizon 2025 Data Breach Investigations Report

Cybersäkerhet i Sverige 2024

Myndigheterna FMV, FRA, Försvarsmakten, MSB, Polisen, PTS samt Säkerhetspolisen har tillsammans tagit fram en publikation med titeln Cybersäkerhet i Sverige 2024.

Publikationen är en broschyr på cirka 40 sidor som ger organisationer en grund att stå på samt så redovisas hur hotet ser ut, några vanliga metoder för angrepp samt tio konkreta råd. Avsändare av publikationen är förutom myndigheterna listade ovan, och Nationellt cybersäkerhetscenter som sedan november 2024 är del av FRA.

Jag har med skapat en sammanställning över de 10 rekommendationerna som myndigheterna föreslår:

1. Upptäck säkerhetshändelser tidigt – Använd manuella, tekniska och automatiserade metoder för att identifiera incidenter snabbt.

2. Installera säkerhetsuppdateringar skyndsamt – Uppdatera system, särskilt de som är internetexponerade, verksamhetskritiska eller har sårbarheter.

3. Kontrollera behörigheter och använd stark autentisering – Stäng av inaktiva konton och ge bara nödvändiga behörigheter.

4. Skydda höga behörigheter – Inför tydliga rutiner för hur administrativa behörigheter tilldelas och används.

5. Stäng av oanvända tjänster och protokoll – Inaktivera funktioner som inte behövs för att minska risken för attacker.

6. Säkerhetskopiera och testa återställning – Skapa regelbundna säkerhetskopior och testa att de fungerar.

7. Segmentera nätverket och kontrollera åtkomst – Begränsa och övervaka trafiken i nätverket och tillåt endast godkänd utrustning att ansluta.

8. Använd vitlistning av mjukvara – Tillåt bara godkänd mjukvara att köras i systemet för att minska riskerna.

9. Uppdatera gammal mjuk- och hårdvara – Byt ut utrustning som inte längre stöds av leverantören eller får säkerhetsuppdateringar.

10. Kontrollera internetåtkomst – Begränsa obehörig kommunikation med omvärlden för att skydda interna system och data.

Även så har publikationen exempel från verkligheten för varje rekommendation vilket jag tycker är bra.

Här kan du ladda hem publikationen i sin helhet som PDF:

Cybersäkerhetstrender 2025

Cybersäkerhetstrender 2025

Cyberhoten fortsätter att utvecklas och bli allt mer sofistikerade. Under det gångna året har vi sett en ökning av ransomware-attacker, hotaktörers användning av AI och en växande risk inom leverantörskedjor (cyber security supply chain). Samtidigt ställer nya EU-regelverk som NIS2 och Cyber Resilience Act högre krav på organisationer att säkerställa robust cybersäkerhet. I detta inlägg går vi igenom några av de mest aktuella trenderna och vad de innebär för framtiden och året 2025.

Ransomware

Att snabbt omvandla ett intrång till pengar har länge varit en stor motiverande faktor för cyberbrottslingar. Ransomware-gängen får allt större resurser, vilket möjliggör för dem att köpa initial åtkomst till IT-system från så kallade Initial Access Brokers (IAB). Detta göder även marknaden för zero-day-sårbarheter, vilket gör det möjligt för dessa grupper att införskaffa och utnyttja nya säkerhetsluckor.

Den genomsnittliga lösensumman uppgick till cirka 9 miljoner SEK år 2024, en ökning med 58 % jämfört med föregående år. Tillgången till RaaS-kit (Ransomware-as-a-Service) på dark web har sänkt tröskeln för cyberbrottslingar, vilket gör det enklare även för mindre tekniskt kunniga aktörer att genomföra attacker.

Artificiell intelligens (AI)

Användningen av deepfake-videor och syntetiskt tal fortsätter att utvecklas och utnyttjas av hotaktörer. Mer innehåll skapas med hjälp av AI för att manipulera och styra narrativ i önskade riktningar. Personas och sockpuppets kan med hjälp av AI skapa trovärdiga, fiktiva profiler som är svåra att skilja från verkliga individer. Även spam och botnät använder AI i allt större utsträckning för att skapa engagemang, manipulera känslor och generera fler följare och klick.

AI-agenter och generativ AI (GenAI) blir dessutom allt smartare och mer effektiva. Jag tror att vi kommer att se en fortsatt utveckling på detta område.

Värt att nämna är att AI också används på försvarssidan. Jag använder själv AI dagligen för att skapa proof-of-concept-kod, analysera säkerhetsbrister och lösa komplexa problem. Fler säkerhetsprodukter integrerar också AI som en del av sina verktyg, exempelvis för att analysera stora mängder loggfiler eller agera som co-piloter i incidenthantering.

Enligt en tidigare studie från Capgemini anser 69% av organisationerna att AI kommer att vara nödvändigt för att hantera cyberattacker i framtiden. Länk om du vill läsa mer:

Lagar och regler

EU satsar stort på cybersäkerhetsområdet, och två viktiga regelverk är NIS2 och Cyber Resilience Act (CRA). Dessa regler håller på att implementeras i svensk lag och är särskilt viktiga för organisationer som utvecklar mjukvara eller tillhandahåller samhällskritiska tjänster.

Under året har vi också sett exempel på hur GDPR har påverkat tillgången till nya tjänster. Exempelvis har tjänster som Apple Intelligence inte kunnat lanseras direkt i GDPR-reglerade områden.

Cyber Security Supply Chain

Cybersäkerhet inom leverantörskedjan blir allt viktigare, och vi ser fler attacker som utnyttjar underleverantörer, tredjepartskomponenter och liknande.

Enligt en rapport från Ponemon Institute, sponsrad av Black Duck, har 59% av de tillfrågade organisationerna påverkats av en mjukvaruleveranskedjeattack eller exploatering, varav majoriteten inträffade under det senaste året.

Lyckligtvis görs det stora framsteg inom området, med initiativ som SLSA, Sigsum, reproducerbara byggen och sigstore för att höja säkerheten.

Övrigt

Några ämnen som kommer att bli alltmer relevanta under 2025 inkluderar attacker mot autentiseringslösningar som Okta, Auth0 och Keycloak. Vi kommer även att se en ökad användning och implementering av passkeys som en del av den lösenordslösa framtiden. Adversary-in-the-Middle (AitM) blir bättre och svårare att detektera bl.a. med verktyg såsom Evilginx.

Det rådande världsläget bidrar också till att cyberattacker används som en del av hybridkrigsföringen mellan och mot stater. Min spaning är att vi kommer att se fler och mer avancerade attacker, ofta sponsrade av stater, i framtiden.

För några dagar sedan så listade jag även de allvarligaste sårbarheterna som uppdagades under 2024. Du kan läsa om dem här:

Några tidigare års trendspaningar inom cybersäkerhet hittar du här:

Allvarligaste sårbarheterna 2024

Allvarligaste sårbarheterna 2024

Den amerikanska myndigheten för cybersäkerhet och infrastruktur (CISA), i samarbete med Homeland Security Systems Engineering and Development Institute (HSSEDI), som drivs av MITRE, har publicerat 2024 års lista över de 25 farligaste programvarusvagheterna (CWE Top 25). Denna årliga lista identifierar de mest kritiska programvarusvagheterna som angripare ofta utnyttjar.

CISA uppmanar organisationer att utgå från denna lista när man bygger sina strategier och skyddsförmågor samt att utvecklingsteam är väl medvetna om dessa brister och sårbarheter.

Listan är rankad efter ett poängsystem där bl.a. allvarlighetsgraden enligt CVSS är inräknad. Och antalet brister (CVE:er) i Known Exploited Vulnerabilities Catalog (KEV) återfinnes också i listan.

Hela listan återfinnes här:

RankIDNamnPoängCVEs i KEVRank förändring vs. 2023
1CWE-79Improper Neutralization of Input During Web Page Generation (’Cross-site Scripting’)56.923+1
2CWE-787Out-of-bounds Write45.2018-1
3CWE-89Improper Neutralization of Special Elements used in an SQL Command (’SQL Injection’)35.8840
4CWE-352Cross-Site Request Forgery (CSRF)19.570+5
5CWE-22Improper Limitation of a Pathname to a Restricted Directory (’Path Traversal’)12.744+3
6CWE-125Out-of-bounds Read11.423+1
7CWE-78Improper Neutralization of Special Elements used in an OS Command (’OS Command Injection’)11.305-2
8CWE-416Use After Free10.195-4
9CWE-862Missing Authorization10.110+2
10CWE-434Unrestricted Upload of File with Dangerous Type10.0300
11CWE-94Improper Control of Generation of Code (’Code Injection’)7.137+12
12CWE-20Improper Input Validation6.781-6
13CWE-77Improper Neutralization of Special Elements used in a Command (’Command Injection’)6.744+3
14CWE-287Improper Authentication5.944-1
15CWE-269Improper Privilege Management5.220+7
16CWE-502Deserialization of Untrusted Data5.075-1
17CWE-200Exposure of Sensitive Information to an Unauthorized Actor5.070+13
18CWE-863Incorrect Authorization4.052+6
19CWE-918Server-Side Request Forgery (SSRF)4.0520
20CWE-119Improper Restriction of Operations within the Bounds of a Memory Buffer3.692-3
21CWE-476NULL Pointer Dereference3.580-9
22CWE-798Use of Hard-coded Credentials3.462-4
23CWE-190Integer Overflow or Wraparound3.373-9
24CWE-400Uncontrolled Resource Consumption3.230+13
25CWE-306Missing Authentication for Critical Function2.735-5

Windows RCE i LDAP

I tisdags var det återigen dags för Microsofts månatliga Patch-tisdag, och denna gång adresserades ett antal mycket allvarliga säkerhetsbrister. Totalt patchades 16 sårbarheter som möjliggör Remote Code Execution (RCE), varav flera klassas som kritiska.

Den brist med högst CVSSv3 base score var en sårbarhet i Windows LDAP-hantering som hamnar på hela 9.8. Som förmildrande åtgärd rekommenderar Microsoft att blockera inkommande RPC-anrop, samt förhindra helt utgående trafik från domänkontrollanter. Vid utnyttjande av bristen så erhåller en eventuell angripare samma rättigheter som LDAP-tjänsten. Samt så klart installera själva patchen som åtgärdar bristen (och övriga brister inom LDAP som listas nedan).

Extended Protection for Authentication (EPA), SMB signing och LDAP signing + channel binding är rekommenderat att använda generellt i Windows-miljöer för att höja säkerheten.

Även så har ett aktivt utnyttjande av en zero-day i Windows Common Log File System (CLFS) identifierats och patchats, CVE-2024-49138. Den har en något lägre CVSS på 7.8, främst för att det är en lokal brist men medger rättighetshöjningar.

Nedan följer en tabell med samtliga tre brister som åtgärdas i LDAP:

SeverityCVSS ScoreCVEDescription
Critical9.8CVE-2024-49112Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability
Critical8.1CVE-2024-49124Windows Lightweight Directory Access Protocol (LDAP) Client Remote Code Execution Vulnerability
Critical8.1CVE-2024-49127Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability

NISTs uppdaterade riktlinjer för lösenord

NIST Password Lösenords policy

Det amerikanska organisationen National Institute of Standards and Technology (NIST) uppmanar till att överge gamla metoder för lösenord till förmån för mer nya och effektiva skydd. Här har jag sammanfattat sex viktiga insikter från NIST:s nya rekommendationer som kan hjälpa Er organisation att skapa moderna och säkra lösenordspolicyer:

1. Prioritera längden på lösenordet framför komplexitet

Tidigare har många organisationer krävt komplexa lösenord med stora och små bokstäver, siffror och specialtecken. Men ny forskning visar att människor ofta skapar förutsägbara mönster som gör lösenorden lättare att gissa.

NIST föreslår istället att fokusera på lösenordets längd. Uppmuntra därför användare att skapa långa lösenfraser, som kombinerar orelaterade ord, exempelvis “lamas-kasett-trumpet7”. Dessa är både enklare att komma ihåg och svårare att knäcka än komplexa men förutsägbara lösenord.

2. Möjliggör långa lösenord

NIST rekommenderar att stödja lösenord upp till 64 tecken för att ge maximal flexibilitet och säkerhet. Även om lösenfraser inte är osårbara, erbjuder de bättre skydd än kortare alternativ. Se till att dina system tillåter tillräckligt långa lösenord:

SHALL require passwords to be a minimum of eight characters in length and SHOULD require passwords to be a minimum of 15 characters in length.

3. Inför multifaktorautentisering (MFA)

Enligt undersökningar från Microsoft saknade 99 % av alla komprometterade konton MFA. NIST understryker att MFA inte längre är valfritt – det är ett måste. Kombinera lösenord med ytterligare autentiseringsfaktorer för att öka säkerheten ytterligare.

4. Undvik frekventa lösenordsbyten

Många användare ogillar att ofta behöva byta lösenord ofta, och NIST rekommenderar att slopa denna praxis om det inte finns bevis för att ett lösenord har komprometterats. Ofta leder sådana krav till svagare lösenord, då användarna gör minimala ändringar. En mer balanserad strategi är att förlänga tiden mellan byten och istället använda verktyg som upptäcker komprometterade lösenord såsom HaveIBeenPwned.

5. Blockera komprometterade lösenord

Att använda lösenord som redan finns i databaser över tidigare läckor är en stor säkerhetsrisk. NIST rekommenderar att man kontrollerar nya lösenord mot dessa databaser för att förhindra att komprometterade lösenord används igen. Detta kan eliminera en vanlig attackmetod innan den utnyttjas. Och för att implementera detta kan exempelvis k-anonymitet användas eller nedladdade databaser från HaveIBeenPwned.

6. Sluta med lösenordstips och säkerhetsfrågor

Traditionella metoder som lösenordstips och säkerhetsfrågor är föråldrade och bör ej användas. Med dagens tillgång till information via sociala medier är svaren ofta enkla att hitta. NIST föreslår istället att använda säkrare alternativ som återställningslänkar via e-post eller MFA vid lösenordsåterställningar.

Att anpassa sig till NIST:s riktlinjer är ett viktigt steg mot starkare lösenordssäkerhet i din organisation. Genom att fokusera på lösenordslängd, använda MFA och förebygga vanliga misstag kan du skapa en säkerhetspolicy som är både användarvänlig och robust.

Här kan du läsa hela det nya dokumentet med rekommendationer:

Kommande allvarlig sårbarhet

Uppdatering: Sårbarheten (sårbarheterna) är nu officiell och den återfinnes i CUPS. CUPS används för att hanter utskrifter. Läs mer på Simones blogg här men kontentan är att för den allvarligaste så behövs det enbart UDP-paket mot 631 där cups-browsed återfinnes. PoC återfinnes även här.

En säkerhetsforskare vid namn Simone Margaritelli (evilsocket) har på X (föredetta Twitter) skrivit att han identifierat en sårbarhet som fått CVSS score på hela 9.9 och påverkar majoriteten av all Linux-baserade operativsystem samt FreeBSD. Huruvida andra BSD OS såsom OpenBSD är sårbart, är oklart just nu.

Det har spekulerats en hel del var sårbarheten ligger bl.a. för att en ny version av OpenSSH släpptes precis som bl.a åtgärdar en del pre-auth prylar samt tar bort stöd för DSA i större utsträckning.

Datum som gäller framöver för denna sårbarhet:

  • September 30: Information på Openwall security mailing list.
  • Oktober 6: Full public disclosure

Observera att det fortfarande är oklart gällande omfattningen av denna sårbarhet.

Uppdatering: Evilsocket har nu stängt sin X-profil, här återfinns skärmdump av inlägget:

Veeam Remote-Code-Execution

Veeam

Flertalet allvarliga säkerhetsbrister har uppdagats i mjukvaran Veeam Backup & Replication. Minst två av dessa sex säkerhetsbrister som uppdagats leter till RCE (Remote Code Execution). Sårbarheter i backup-mjukvara är synnerligen allvarligt då dessa som oftast kör med höga behörigheter och kan innehålla en guldgruva för ransomware-grupperingar.

  • Sårbarheterna gäller också följande produkter, inklusive Backup & Replication:
  • Veeam ONE
  • Veeam Service Provider Console
  • Veeam Agent for Linux
  • Veeam Backup for Nutanix AHV
  • Veeam Backup for Oracle Linux Virtualization Manager and Red Hat Virtualization

Bristerna har identifierats av Florian Hauser från CODE WHITE GmbH och den högsta CVSS-scoren är på 9.8, vilket är kritisk nivå. Kan rekommendera följande läsning från Watchtowr.

Rekommenderat är att uppgradera till Veeam Backup & Replication version 12.2 (build 12.2.0.334).

Källa: Veeam security bulletin

Storbritannien satsar på honeypots

storbritannien NCSC satsar på honeypots

Trodde du att honeypots var ute? Då har du fel. Iallafall om man får tro brittiska cybersäkerhetscentret
NCSC (National Cyber Security Centre). NCSC satsar nu på att driftsätta ett stort antal olika honeyspots såsom följande:

  • Honeypots med hög och låg interaktion – Både på interna och och externa-nätverk inom organisationer i Storbritannien. Även kommer dessa driftsättas i molnmiljöer
  • Honeytokens – Unika siffror och tokens som ej ska röras eller förekomma i nätverk
  • Breadcrumbs – Ledtrådar som lurar en antagonist att logga in på system exempelvis

Att detta är en stor satsning kan man utläsa utifrån de siffror nedan på antalet instanser och tokens som minimum kommer att användas:

  • 5 000 instanser på det brittiska internet av låg- och höginteraktionslösningar över IPv4 och IPv6
  • 20 000 instanser inom interna nätverk av låginteraktionslösningar
  • 200 000 tillgångar inom molnmiljöer av låginteraktionslösningar
  • 2 000 000 distribuerade tokens

Målsättningen med dessa installationer och tokens är att svara på tre huvudfrågor:

  • Hur effektiva är implementationerna när det gäller att upptäcka dolda säkerhetsintrång inom organisationers system?
  • Hur effektiva är implementationerna när det gäller att kontinuerligt upptäcka nya säkerhetsintrång av hotaktörer?
  • Påverkar vetskapen om att sådana teknologier finns på nationell nivå det observerbara beteendet hos hotaktörer?

Synnerligen intressant satsning. Vi får hoppas att länder såsom Sverige tar efter och genomför liknande satsningar, kanske något för svenska NCSC?

Läs även mitt blogginlägg från 2015 då jag skrev om kanariefåglar inom cybersäkerhet.

Källa

0-klick RCE i Windows IPv6-stack åtgärdad

0-klick RCE i Windows IPv6-stack åtgärdad

Uppdatering: Enligt en källa på X (fd Twitter) så återfinnes sårbarheten i funktionen Ipv6pProcessOptions.

I veckan så var det dags för den månatliga patch-tisdagen, då Microsoft släpper viktiga buggfixar för Windows. Denna gång hanterades hela 90 CVE:er, varav en särskilt intressant sårbarhet stack ut: en 0-klick Remote Code Execution-sårbarhet i Windows TCP/IP-stack.

Detta innebär att skadlig kod kan fjärrexekveras på en Windows-server eller klient utan någon som helst användarinteraktion. Sårbarheten har identifierats som CVE-2024-38063 och återfinns specifikt i IPv6-delarna av TCP/IP-stacken. Den har tilldelats en allvarlighetsgrad på hela 9.8 och klassificeras som:

  • CWE-191: Integer Underflow (Wrap or Wraparound)

Denna kritiska sårbarhet upptäcktes av det kinesiska säkerhetsföretaget Kunlun Lab, och Microsoft har i sin säkerhetsrådgivning angivit att risken för utnyttjande är hög: Exploitation More Likely.

Rekommenderad åtgärd är att stänga av IPv6 temporärt alternativt installera denna månads säkerhetspatch.