2025 Trender for cyberhendelser: Hva bedrifter må vite

Cybersikkerhetslandskapet fortsetter å utvikle seg i et alarmerende tempo, og ondsinnede aktører utnytter stadig mer sofistikerte teknikker for å forstyrre organisasjoner i alle sektorer. Alt fra inntrengninger basert på kunstig intelligens til intensiverte nasjonalstatskampanjer gjør at virksomheter står overfor helt nye utfordringer når det gjelder å beskytte sine digitale ressurser og opprettholde operasjonell robusthet. Å forstå disse nye truslene og implementere robuste forsvarsstrategier har blitt avgjørende for organisasjoners overlevelse i dagens sammenkoblede digitale økosystem.

Kunstig intelligens forvandler metodene for cyberangrep

Kunstig intelligens har fundamentalt endret hvordan trusselaktører utfører cyberoperasjoner. Nyere data viser at omtrent 16 prosent av alle rapporterte cyberhendelser nå involverer angripere som bruker AI-verktøy, særlig modeller for bilde- og språkgenerering, til å gjennomføre sofistikerte sosial manipuleringskampanjer. Generativ AI har økt angrepseffektiviteten dramatisk ved å skape mer overbevisende bedrag og muliggjøre omfattende automatisering av inntrengingsverktøy.

Trusselaktører bruker AI-teknologi på flere farlige måter. Deepfake-teknologi gjør det mulig for kriminelle å skape realistiske lyd- og videoimitasjoner av ledere og supportpersonell, som de bruker til å godkjenne falske bankoverføringer, stjele brukeropplysninger og kompromittere kontoer. En spesielt ødeleggende hendelse involverte angripere som brukte offentlig tilgjengelige opptak til å lage overbevisende deepfake-videoer av et selskaps finansdirektør og ansatte, og som lyktes med å lure et offer til å overføre over 25 millioner dollar til de kriminelle.

Stemmefisking, eller "vishing", representerer en annen AI-forbedret trusselvektor. Angriperne bruker AI-genererte skript og stemmekloner i målrettede telefonkampanjer for å overtale ofrene til å laste ned ondsinnet nyttelast, opprette eksterne supportøkter eller oppgi påloggingsinformasjon. I tillegg bruker trusselaktører generative AI-verktøy til å produsere skreddersydde phishing-e-poster og tekstmeldinger som inneholder kontekstuelle detaljer og naturlige språkmønstre, noe som øker sannsynligheten for at ofrene klikker på ondsinnede lenker og gir fra seg påloggingsinformasjonen sin.

Løsepengevirusangrep blir stadig mer aggressive og kostbare

Løsepengevirus fortsetter å plage organisasjoner i alle bransjer, og de siste rapportene viser en økning på tolv prosent i antall brudd relatert til løsepengevirus sammenlignet med året før. Angriperne har tatt i bruk stadig mer aggressive utpressingsteknikker og mer sofistikerte verktøy for å maksimere presset på ofrene. Moderne løsepengeviruskampanjer kombinerer tradisjonell datakryptering med forstyrrende taktikker, inkludert trakassering av ansatte og trusler mot kritiske operasjoner, noe som resulterer i lengre nedetid og betydelig høyere gjenopprettingskostnader.

Flere bemerkelsesverdige løsepengevirusgrupper har dominert overskriftene den siste tiden. Trusselgruppen Scattered Spider har dukket opp igjen ved å bruke avanserte sosial manipuleringsteknikker for å få tilgang til organisasjoner i ulike bransjer. I mellomtiden dukket LockBit-løsepengevirusoperasjonen opp igjen tidlig i 2025 med sitt oppdaterte verktøysett, LockBit 4.0, og lanserte aggressive utpressingskampanjer spesielt rettet mot privat sektor i hele USA.

Interessant nok ser det ut til at organisasjonenes respons på løsepengevirusangrep er i ferd med å endre seg. Nyere bransjeundersøkelser viser at rundt sekstitre prosent av de spurte organisasjonene nektet å betale løsepenger i løpet av det siste året, noe som er en økning fra femti-ni prosent i 2024. Denne trenden tyder på økende motstand mot kriminelle utpressingskrav, selv om den også understreker behovet for robuste sikkerhetskopierings- og gjenopprettingsfunksjoner som gjør det mulig for organisasjoner å gjenopprette driften uten å kapitulere overfor angriperne.

Trusler fra nasjonalstater intensiveres i en tid med geopolitiske spenninger

Nasjonalstatlige trusselaktører har intensivert cyberoperasjonene sine betydelig, og retter seg mot telekommunikasjonsinfrastruktur, kritiske systemer og strategiske tredjepartsleverandører. Disse sofistikerte kampanjene benytter seg ofte av cyberspionasjeteknikker og avanserte bedragtaktikker for å stjele brukeropplysninger og skaffe seg uautorisert tilgang til sensitive nettverk og data.

Kina-baserte trusselaktører har trappet opp aktivitetene sine dramatisk det siste året, og enkelte bransjer har opplevd en økning i antall angrep på mellom 200 og 300 prosent sammenlignet med året før. To høyprofilerte inntrengningskampanjer fikk global oppmerksomhet: Salt Typhoon og Volt Typhoon. Salt Typhoon-operasjonen infiltrerte store telekommunikasjonsnettverk i en omfattende cyberspionasjekampanje, mens Volt Typhoon innebar forhåndsposisjonering av ondsinnet kode i kritiske infrastruktursystemer, noe som vekker alvorlig bekymring for potensiell eskalering til fysisk skade eller omfattende forstyrrelser.

Nasjonalstatlige aktører har også utnyttet sosial manipulasjon utover tekniske inntrengninger. Nord-Korea-tilknyttede trusselaktører infiltrerte amerikanske selskaper ved å fabrikkere dokumentasjon og skape overbevisende kandidatprofiler for å sikre seg ansettelse i IT-støttestillinger, stillinger de deretter utnyttet til å stjele brukeropplysninger og utføre falske finansielle transaksjoner. Iran-tilknyttede aktører har særlig tatt i bruk generative AI-verktøy, og en gruppe skal ha forsterket lekket informasjon gjennom AI-chatboter etter en hack-and-leak-kampanje rettet mot journalisters sensitive data i juli 2025.

Angrep fra tredjeparter i leverandørkjeden utgjør en økende risiko

Tredjepartsangrep oppstår når trusselaktører kompromitterer partnere i leverandørkjeden, leverandører eller programvareleverandører og utnytter denne tilgangen til å infiltrere målorganisasjoners nettverk. Disse angrepene går ofte på tvers av sammenkoblede systemer, og påvirker flere nedstrømsenheter og kunder som er avhengige av den kompromitterte programvaren eller tjenestene. Nyere data fra trusseletterretning viser en økning i økonomisk motivert nettkriminalitet som retter seg mot programvareleverandører som første innfallsport til bredere bedriftsøkosystemer.

Ved å bryte seg inn hos tredjepartsleverandører kan angriperne omgå tradisjonelle perimeterforsvar og få privilegert tilgang til sensitive forretningsmiljøer. Disse trusselaktørene utnytter ofte vertsmiljøer som skyplattformer og programvare-som-en-tjeneste-økosystemer, beveger seg sideveis på tvers av kundeinstanser, innhenter påloggingsinformasjon og exfiltrerer proprietære data i stor skala. Denne taktikken gjør det mulig å ramme bredt, særlig når leverandørene betjener flere kunder i ulike bransjer.

Tredjepartsangrep i leverandørkjeden har blitt en av de mest kostbare og vedvarende cybertrusselvektorene som organisasjoner står overfor i dag. Nyere data viser at disse bruddene i gjennomsnitt koster nesten fem millioner dollar, og at det tar lengre tid å identifisere og begrense dem enn noen annen form for cyberinntrenging. Kompleksiteten i leverandørrelasjonene og den lange ventetiden bidrar til å forsinke responsen og øke eksponeringen for berørte organisasjoner.

Viktige anbefalinger for cyberresiliens

Et omfattende, risikobasert cybersikkerhetsprogram er fortsatt det mest effektive forsvaret mot stadig nye cybertrusler. Organisasjoner bør prioritere beredskap ved hendelser ved å gjennomføre skrivebordsøvelser med nøkkelpersoner i ledelsen, styrerepresentanter og avdelingsledere for å validere roller, eskaleringsprosedyrer og rammeverk for beslutningstaking. Disse øvelsene bør inkludere nye trusler, for eksempel ondsinnet bruk av generativ kunstig intelligens, for å sikre at teamene er forberedt på realistiske scenarioer.

Policystyring krever kontinuerlig oppmerksomhet. Organisasjoner må jevnlig gjennomgå og oppdatere beredskapsplaner, kontinuitetsprosedyrer og godkjenningsprosesser for kommunikasjon for å sikre at de gjenspeiler aktuelle trusler og er i samsvar med krav om rask varsling, for eksempel EUs NIS2-direktivs krav om varsling innen 24 timer og SECs regel om offentliggjøring av vesentlige hendelser innen fire virkedager. Oppdaterte retningslinjer bør distribueres til relevante interessenter og bør ta hensyn til risikotoleranse for nye teknologier som generativ AI.

For å redusere tredjepartsrisikoer er det nødvendig med en grundig due diligence av leverandørene og kontraktsmessige sikkerhetstiltak. Organisasjoner bør utføre kritiskhetsanalyser for å identifisere leverandører og komponenter der en kompromittering vil ha størst innvirkning på driften. Viktige beskyttelsestiltak er blant annet å kreve at leverandøren attesterer sikker praksis for programvareutvikling, implementere sterk kontraktsbeskyttelse med krav om rask varsling av hendelser og revisjonsrettigheter, gjennomføre regelmessige vurderinger av leverandørens sikkerhetspraksis og teste responstiltak gjennom skrivebordsøvelser som involverer scenarier for tredjepartsleverandører.

Sårbarhetsstyringsprosessene må være raske og systematiske, med tanke på hvor ofte det kommer sikkerhetsoppdateringer og nye angrepsmuligheter. Organisasjoner bør ha dokumenterte prosesser for å identifisere, vurdere, prioritere, utbedre og spore sårbarheter, samtidig som de tildeler tydelig eierskap og tidsfrister for utbedringsaktiviteter. Ved å implementere verktøy for kontinuerlig overvåking og proaktiv patchhåndtering som produserer reviderbare logger, kan organisasjoner håndtere sårbarheter før trusselaktører kan utnytte dem.

Til slutt kan man styrke organisasjonens sikkerhetsposisjon ved å engasjere seg i bransjegrupper og holde seg informert om oppdateringer av regelverk og rettshåndhevelse. Til tross for den juridiske usikkerheten som nylig har oppstått rundt deling av cybersikkerhetsinformasjon etter at visse lovbestemmelser har utløpt, er det fortsatt viktig å dele informasjon i tide og på en koordinert måte. Organisasjoner bør melde seg inn i bransjespesifikke cybersikkerhetsgrupper for å holde seg oppdatert om sektorspesifikke trusler og beste praksis, samtidig som de følger med på oppdateringer fra offentlige etater og abonnerer på etterretningsbulletiner om trusler fra politimyndigheter.

Selv om det er umulig å eliminere cyberrisiko helt, er det viktig å prioritere beredskap for hendelsesrespons og etterlevelse av regelverk for å bygge opp teknisk robusthet og posisjonere organisasjoner gunstigere både fra et operasjonelt og juridisk perspektiv når de uunngåelig blir utsatt for cyberangrep.

Kilde: https://www.mayerbrown.com/en/insights/publications/2025/10/2025-cyber-incident-trends-what-your-business-needs-to-know