I detta inlägg tar vi upp hacktivism, infostealers och ransomware. Häng med.
Vid detta lag är de flesta tillbaka från sin sommarsemester och redo att tackla hösten. På tal om lag och hösten, så gläds JSCs ”lag informationssäkerhet”, eftersom vi växer med ytterligare kompetenta resurser. I början av september börjar nämligen Mikael Pettersson som informationssäkerhetskonsult hos oss. Mikael har över 20-års erfarenhet av informationssäkerhetsarbete både från privat och offentlig sektor. Vi märker att förfrågan på våra tjänster stadigt går upp och med den nya Cybersäkerhetslagen runt hörnet (mitten av januari 2026) så behöver vi bli fler som kan hjälpa våra kunder mot en tryggare ”informationsvardag”.
I omvärlden då…
Ja, Rysslands anfallskrig mot Ukraina går vidare i ominskad styrka och Trumps möte med Putin i Alaska, tätt efterföljt av ett antal europeiska ledares besök i Vita Huset har väl inte undgått någon. Från nu, är givetvis om Putin är intresserad av att träffa Ukrainas president Zelensky och om Trump över huvud taget tänker fortsätta stötta processen han hittills varit relativt aktiv i. Just nu känns det som ”mycket snack, lite verkstad” men framtiden får utvisa. En annan mycket intressant (läs: oroväckande) utveckling är Pekings intresse att införliva Taiwan i Folkrepubliken Kina. I nästa nyhetsbrev kommer vi skriva några rader om detta, det är viktigt för svenska verksamheter att förstå nuläget och fundera över potentiella konsekvenser.
Cyberbrott ur ett geopolitiskt perspektiv
Vi hoppar från nya kollegor på JSC och säkerhetspolitik till Cyberspaningar och några intressanta uppslag från första halvåret 2025. Sett till omvärlden i stort så är så kallade DDoS-attacker (överbelastningsattacker) på nedgång till förmån för en ytterligare ökning när det gäller Ransomware. En intressant och oroväckande trend att vi ser en ökning i detta från hackergrupper som opererar från Mellanöstern och Afrika, exempelvis Moroccan Dragons och Palestinska Liwaa Mohammed. Dessa blir då en del av det ekosystem som utgörs av länder som Ryssland, Iran och Kina. Man kan nästan säga att dessa hackergrupper bildar ett geopolitiskt fientligt sinnat lag. Hackare tillhörande islamistiska terror-faktioner går ihop med ryska grupper och exempelvis i Kambodja som har både Kina och Ryssland på sin sida har olika hacker-fraktioner gått samman, vilket inneburit att vietnamesiska verksamheter har blivit attackerade av ryska aktörer som backar kinesiska intressen.
Infostealers, Hacktivism och Ransomware
Ett företag som bedriver mycket omvärldsbevakning och research Är KELA. KELA har också mycket sofistikerade tjänster inom exempelvis hotintelligens och dark web-övervakning.
KELAs ”Midyear Threat Report” visar att hacktivister, ransomwaregrupper och så kallade infostealers utgör de största hoten mot organisationer världen över och att vi under det första halvåret 2025 har fått se cyberhoten utvecklas snabbt och bli allt mer komplexa. Nedan följer några korta ”take aways” från rapporten:
Hacktivismens nya ansikte – Hacktivistgrupper har blivit mer decentraliserade och opportunistiska. Telegram har ersatts av X (tidigare Twitter) som primär kommunikationskanal efter flera nedstängningar. DDoS-attacker och webbplatsförvanskningar är fortfarande vanliga, men många attacker saknar teknisk sofistikering och syftar mer till psykologisk påverkan än faktisk skada.
”Flerstegs-utpressning” blir standard – Ransomware fortsätter att dominera hotbilden med över 3 600 offer under första halvåret 2025 – en ökning med 63 % jämfört med samma period 2024. Grupper som Clop, Akira och Qilin har genomfört högprofilerade attacker mot bland annat Marks & Spencer, Co-op och Lee Enterprises. Trenden går mot datastöld snarare än kryptering, ofta kombinerat med utpressning och överbelastningsattacker.
Den tysta inledningen – Infostealers har infekterat över 2,6 miljoner enheter och komprometterat mer än 204 miljoner inloggningsuppgifter. Detta är program som kan ladda ner information från webbläsare samt andra applikationer och används ofta som första steg i större attacker, inklusive ransomware och spionage. MacOS har blivit ett allt vanligare mål, vilket visar att hoten nu sträcker sig bortom Windows-miljöer.
Exploatering på rekordtid – Cyberkriminella utnyttjar nya tekniska sårbarheter inom dagar efter offentliggörande. Sårbarheter i programvaror från Ivanti, Palo Alto, Microsoft och Apple har varit särskilt utsatta. Riskbaserad patchhantering och snabb respons är avgörande för att minska attackytan.
Slutsatsen är att cyberhoten under 2025 kräver ett skifte från traditionella skydd till proaktivt försvar. Som verksamhet bör ni fortsätta satsa på identitetsskydd, sårbarhetshantering och incidentberedskap – och möta AI-drivna hot med AI-baserade lösningar.
Att imitera kända varumärken för att luras
Under det andra kvartalet 2025, var Microsoft det mest utnyttjade varumärket i nätfiskeattacker, enligt en rapport från IT-säkerhetsföretaget Check Point Software.
Företagetsnamnet Microsoft står för 25 procent av alla identifierade nätfiskeattacker under perioden. Samtidigt gör Spotify ett återtåg på listan och placerar sig på fjärde plats med sex procent av attackerna – den första toppnoteringen för streamingtjänsten sedan 2019.
Enligt Check Point fortsätter nätfiske att vara ett av de mest använda verktygen bland cyberkriminella. Under det senaste kvartalet har angripare i allt större utsträckning imiterat välkända varumärken för att lura användare att lämna ut känslig information. Teknikföretag är fortfarande de mest eftertraktade målen, men rapporten visar också att aktörer inom underhållning och konsumtion utnyttjas i allt högre grad.
En särskilt uppmärksammad kampanj under kvartalet riktade sig mot Spotify-användare. En falsk webbplats som efterliknade Spotifys riktiga hemsida användes för att samla in inloggningsuppgifter för att sedan leda användare vidare till en förfalskad betalningssida där även kreditkortsuppgifter efterfrågades.
Listan på mest imiterade företag i sin helhet ser ni nedan och med det skickar vi också med en uppmaning att vara extra noggranna när ni får epost från dessa företag där ni exempelvis blir ombedda att förnya inloggningsuppgifter eller ändra betalmedel.
- Microsoft – 25%
- Google – 11%
- Apple – 9%
- Spotify – 6%
- Adobe – 4%
- LinkedIn – 3%
- Amazon – 2%
- Booking – 2%
- WhatsApp – 2%
Systematiskt informationssäkerhetsarbete
Vi fortsätter tjata om vikten att arbeta systematiskt med informationssäkerhet. Innehållet i detta nyhetsbrev återspeglar tyvärr vår upplevda omvärld, fortsatt osäkert säkerhetspolitiskt läge och hög aktivitet bland hotaktörer. Något vi brukar kommunicera till verksamheter vi pratar med är att det inte bara räcker med att skydda IT-miljön eller nätverket, det gäller att skydda verksamheten. Nålsögat må vara litet men när bovarna väl tagit sig igenom det så hjälper inga skydd, då handlar det om att veta vad man skall göra och vem som skall göra det. Så här kommer en utmaning; Ställ dig själv följande frågor: ”Om vår IT-miljö stannar – om vårt affärssystem, våra datorer och vårt nätverk inte fungerar – vad gör vi då?” Hur hanterar vi incidenten, hur kan vi bedriva verksamhet utan IT-stöd och till vilken nivå?
Har ni inte planer på plats eller tydliga svar på frågorna så är det dags att ta tag i detta, och tyvärr, ”vi ringer vår IT-leverantör” är inte ett bra svar – för detta handlar inte om IT.
Denna blogg bygger på JSC:s nyhetsmail för informationssäkerhet. Vill du få månatliga uppdateringar med omvärldsbevakning i ämnet? Prenumerera på JSC Cure Nyhetsbrev.
Och läs mer om vårt arbete med IT-säkerhet för företag.