SäkerhetsFokus
Dataflöden och cybersäkerhetsanalys
← Tillbaka till artiklar
Cyberhot11 min läsning

Cisco Talos hotrapport 2025: Vad svenska företag kan lära sig

Cisco Talos publicerade nyligen sin Year in Review för 2025. Den ger en av de mest detaljerade bilderna av hur hotlandskapet faktiskt ser ut, baserat på data från miljontals sensorer och tusentals incidentutredningar. Tre trender dominerar: identitetsattacker som exploderar, sårbarheter som utnyttjas inom timmar och ransomware som slår hårdare mot tillverkningsindustrin än någonsin.

För svenska organisationer, som precis fått en ny cybersäkerhetslag att förhålla sig till, är rapporten obligatorisk läsning. Här är de viktigaste insikterna och vad de betyder i praktiken.

Identitetsattacker: +178% på ett år

Den mest alarmerande siffran i rapporten: attacker mot enhetsregistrering i MFA-system ökade med 178% jämfört med 2024. Angripare registrerar falska enheter som betrodda MFA-faktorer, vilket ger dem permanent åtkomst som överlever lösenordsbyten.

Vishing (röstphishing) riktad mot IT-administratörer var tre gånger vanligare än bedrägeri via användarregistrering. Det betyder att angriparna ringer din IT-avdelning, utger sig för att vara en medarbetare och ber om hjälp med att registrera en ny enhet. Om IT-supporten inte har strikta verifieringsrutiner får angriparen direkt åtkomst till hela miljön.

Inom tekniksektorn dominerade MFA-sprayattacker. Inom högre utbildning var det enhetskompromettering som stack ut. Mönstret visar att angriparna anpassar sin taktik efter branschen.

Vad betyder det för svenska organisationer?

  • Migrera till FIDO2/passkeys för administratörskonton. TOTP-koder är inte längre tillräckligt.
  • Inför liveness-verifiering vid enhetsregistrering. Kräv fysisk närvaro eller videosamtal.
  • Utbilda IT-supporten i verifieringsrutiner för telefonförfrågningar. "Ring tillbaka på det registrerade numret" ska vara standardprocedur.

Sårbarheter: Från publicering till attack på timmar

React2Shell, en sårbarhet som publicerades i december 2025, blev årets mest utnyttjade sårbarhet trots att den bara hann existera i tre veckor. Det säger allt om hur snabbt automatiserade verktyg kan omvandla en publicerad CVE till ett fungerande angrepp.

Samtidigt finns Log4j fortfarande i topp tio, fyra år efter upptäckten. Ryska grupper utnyttjar framgångsrikt sårbarheter som är fem till sju år gamla. Budskapet är tydligt: du måste hantera både nya och gamla brister parallellt.

Den mest oroande statistiken: 40% av de mest angripna sårbarheterna 2025 påverkade uttjänta (end-of-life) produkter som inte längre får säkerhetsuppdateringar. Organisationer som fortfarande kör gammal nätverksutrustning exponerar sig för attacker som aldrig kan patchas bort.

Nätverksinfrastruktur som primärt mål

Angripare riktade sig konsekvent mot application delivery controllers (ADC), VPN-gateways och nätverkshanteringsplattformar. Dessa system fungerar som förtroendemäklare i nätverket. Komprometterar du dem kan du kringgå MFA, röra dig lateralt och nå känsliga system utan att utlösa larm.

Kinesiska grupper ökade sin aktivitet med 74% enligt Talos. De vapenficerade ToolShell-zerodayen "omedelbart efter publicering". Nordkoreanska aktörer genomförde den största kryptokuppen i historien (1,5 miljarder dollar) och placerade falska IT-arbetare i Fortune 500-företag med hjälp av AI-genererade identiteter.

Praktiska åtgärder

  • Isolera management-interfaces från produktionsnätverket. Admin-åtkomst ska aldrig vara nåbar från internet.
  • Inventera och pensionera EOL-utrustning. Om du inte kan byta ut den, isolera den i ett eget nätverkssegment med strikt trafikfiltrering.
  • Kritiska patchar inom 48 timmar. Automatisera om möjligt. Övervaka exploit-databaser aktivt.

Ransomware: Tillverkningsindustrin hårdast drabbad

Tillverkningsindustrin var det främsta målet för ransomware under 2025 enligt Talos. Anledningen är enkel: tillverkare har låg tolerans för stillestånd och komplexa IT/OT-miljöer som gör segmentering svår. En attack som stoppar produktionen kostar miljoner per dag, vilket ökar sannolikheten att lösensumman betalas.

Angripare använde giltiga konton för initial åtkomst i nästan 70% av ransomware-fallen. De lyckades inaktivera säkerhetslösningar i 48% av attackerna. Dubbelutpressning, där data stjäls innan krypteringen, var standard. Vissa grupper gick vidare till trippelutpressning, där även offrets kunder kontaktas med hot.

En intressant detalj: ransomware-aktiviteten dippade märkbart i januari. Talos föreslår att organisationer utnyttjar detta strategiska fönster för säkerhetstestning och backupverifiering.

AI i attacker: Ännu mest augmentering

Trots all medial uppmärksamhet kring AI-drivna attacker visar Talos data att AI hittills mest använts för att effektivisera befintliga metoder snarare än skapa helt nya. Social engineering, phishing-mejl och OSINT-insamling är de vanligaste användningsområdena.

I sin AMA på Reddit specificerade Talos-teamet de AI-relaterade hot de faktiskt observerar: AI-förstärkt social engineering, AI-assisterad malware-utveckling, prompt injection mot företags-AI, jailbreaking av AI-system och AI-genererade deepfake-identiteter. De varnade särskilt för att filer som hämtas av AI-agenter borde genomgå samma analys som e-postbilagor.

Men skiftet kommer. I sina 2026-prognoser pekar Talos på framväxten av autonoma AI-agenter som kan utvärdera skärminnehåll och bestämma nästa steg i en attack utan mänsklig input. En av forskarna sammanfattade det: "Det spelar ingen roll om hotaktören är en människa eller en AI. Indikatorerna på skadlig aktivitet är desamma."

Svensk kontext: NIS2 och Cybersäkerhetslagen

Tajmingen av Talos-rapporten kunde inte vara bättre för svenska organisationer. Den nya Cybersäkerhetslagen (SFS 2025:1506), som implementerar EU:s NIS2-direktiv, trädde i kraft den 15 januari 2026. Den ställer konkreta krav på riskhantering, incidentrapportering och ledningsansvar som direkt korrelerar med Talos fynd.

Myndigheten för civilt försvars Cybersäkerhetskollen 2025 visade att flera av de 300 deltagande organisationerna i offentlig förvaltning saknar grundläggande delar i ett systematiskt cybersäkerhetsarbete. CERT-SE:s verksamhet förs dessutom över till NCSC under FRA den 1 juli 2026, vilket innebär en omorganisering av Sveriges cyberförsvar mitt under ett eskalerande hotlandskap.

Direkt från Talos: Insikter från Reddit AMA

I en 24-timmars AMA på r/cybersecurity svarade över ett dussin Talos-forskare och incidentutredare på frågor från säkerhetsprofessionella. Flera av svaren ger konkret vägledning som kompletterar rapporten:

"Att ha branschens bästa dörrlås spelar ingen roll om reservnyckeln ligger under dörrmattan."

— Talos-forskare om MFA-bypass via social engineering mot IT-support

Om session cookie-stöld: Acceptera aldrig sessionscookies rakt av. Verifiera att IP-adress matchar, profilera webbläsaren och övervaka användarbeteende inom sessionen. Avviker beteendet — tvinga omautentisering.

Om intern phishing: 35% av phishing-incidenterna involverade attacker inifrån komprometterade konton. Angripare som redan har åtkomst skickar phishing till kollegor från betrodda e-postadresser. De missbrukar även Microsoft 365 Direct Send för att spoofa interna adresser utan att kompromissa kontot.

Om AI i SOC: LLM:er är resonerande motorer, inte operativa funktioner. De fungerar bra för Tier 1-larmtriage (filtrera brus), men L2/L3-analys kräver mänsklig erfarenhet och kontextförståelse som AI saknar.

Om ClickFix-attacker: Människor är vana vid uppdateringspopups och CAPTCHAs. Användare som "bara vill få jobbet gjort" klistrar in kommandon i PowerShell utan att tänka. Försvar kräver utbildning, inte bara teknik.

Communityn lyfte även frustration kring cybersäkerhetens arbetsmarknad. Talos erkände att marknaden är "dålig" på grund av budgetnedskärningar och rolluppblåsning, där en person förväntas hantera allt. Deras råd: gå in i cybersäkerhet via IT, serveradministration eller automation snarare än att försöka landa en säkerhetsroll direkt.

Fem åtgärder att prioritera nu

Baserat på Talos-rapporten och den svenska kontexten, här är de fem viktigaste åtgärderna att prioritera:

  1. Implementera FIDO2 för alla administratörskonton. TOTP och SMS-koder är inte phishing-resistenta. Börja med IT-admin och utöka successivt.
  2. Inventera och segmentera EOL-utrustning. 40% av de mest angripna sårbarheterna gällde uttjänta produkter. Kan du inte ersätta dem, isolera dem.
  3. Stärk verifieringsrutinerna för IT-support. Vishing mot IT-personal ökade kraftigt. Inför callback-verifiering som standardprocedur.
  4. Testa backupåterställning regelbundet. Utnyttja januari-fönstret för fullskalig DR-test. En backup du inte testat är en backup du inte har.
  5. Granska NIS2-efterlevnaden. Cybersäkerhetslagen ställer krav på riskhantering och incidentrapportering. Säkerställ att ledningen förstår sitt personliga ansvar.

Sammanfattning

Cisco Talos 2025-rapport bekräftar vad många säkerhetsteam redan anar: angriparna rör sig snabbare, fokuserar på identitet framför infrastruktur och utnyttjar det faktum att organisationer fortfarande kör uttjänt utrustning. AI-hotet är reellt men ännu mest en förstärkare av befintliga metoder.

För svenska organisationer skapar NIS2-implementeringen och omorganiseringen av CERT-SE ett fönster där förbättringsarbetet inte bara är önskvärt utan lagstadgat. Börja med identiteten, pensionera gammal utrustning och testa era backuper. Det är inte glamoröst, men det är det som faktiskt skyddar verksamheten.

Läs mer om hur du bygger Zero Trust-arkitektur, skyddar mot ransomware och hanterar incidenter steg för steg.

Källor och vidare läsning

Denna artikel är inspirerad av diskussioner i r/cybersecurity på Reddit samt Cisco Talos officiella rapporter. Alla data och statistik härrör från Cisco Talos Year in Review 2025.