Från avancerade attacker till massproduktion – så förändras cyberhoten

Enligt rapporten levereras fortfarande en majoritet av attackerna via e-post, och minst 14 procent av mejlhoten lyckas ta sig förbi minst ett e-postfilter.

Det understryker en växande utmaning för nordiska organisationer, som ofta har investerat tungt i just e-postsäkerhet som första försvarslinje.

– Ett enda säkerhetslager räcker inte längre för att skydda ett företag. Det krävs ett så kallat defense-in-depth-upplägg med flera lager av säkerhetsmekanismer, säger Anna Neckelius till Techtidningen.

Traditionella, detektionsbaserade säkerhetslösningar, som försöker identifiera och stoppa kända hot, får allt svårare att hänga med när attackerna förändras snabbt och varierar i komplexitet.

– Företag bör dessutom isolera opålitliga element i skyddade miljöer för att neutralisera hoten, säger hon.

“Förändringen är enorm”

En av de tydligaste förändringarna som rapporten belyser är hur angripare börjar använda AI-verktyg för att utveckla skadlig kod. HP har identifierat exempel där kodens struktur och kommentering tyder på AI-assisterad utveckling. Vilket gör det enklare att bygga fungerande attackkedjor.

För nordiska företag innebär det att hotbilden breddas. Inte nödvändigtvis genom mer avancerade attacker, utan genom att fler aktörer kan genomföra dem.

– Förändringen är enorm. I stället för avancerade skript som tar veckor att skapa kan attacker nu tas fram med några få klick, säger Anna Neckelius.

Den ökade tillgängligheten gör också att attackerna kan varieras och upprepas i hög takt, vilket sätter press på traditionella skydd.

– När angripare kan generera och paketera om skadlig kod på några minuter finns det en stor risk att försvaren inte hinner med. Enkelhet kan vara mycket skadlig, säger hon.

Ytan för angrepp breddas

En annan tydlig trend är att cyberkriminella i allt större utsträckning använder färdiga komponenter från hackerforum för att bygga sina attacker. I stället för att utveckla allt från grunden kombineras olika delar – skript, laddare och payloads – till kompletta attackkedjor.

Det här innebär att samma tekniska grund kan återanvändas i många olika kampanjer, samtidigt som ytan för angrepp breddas.

– Det gör det möjligt för angripare att snabbt anpassa sina attacker. Genom att kombinera olika komponenter kan de täcka in ett mycket bredare spektrum av angreppsvägar, säger Anna Neckelius.

För organisationer i Norden, där it-miljöer ofta är komplexa och integrerade med externa tjänster, ökar kraven på att testa säkerheten brett.

– Företag måste testa sina säkerhetslösningar mot många olika tillvägagångssätt för att säkerställa ett långsiktigt skydd, säger hon.

Rapporten visar också hur angripare i högre grad utnyttjar legitima plattformar som Google Drive och archive.org för att distribuera skadlig kod.

Eftersom dessa tjänster redan är betrodda och ofta används i verksamheten blir det betydligt svårare att stoppa trafiken utan att samtidigt påverka affärskritiska funktioner.

– Den här typen av attacker använder betrodda tjänster som ofta inte blockeras. Eftersom de används brett i organisationer blir det svårt att skilja legitim trafik från skadlig, säger Anna Neckelius.

I en nordisk kontext, där molntjänster är en självklar del av arbetsvardagen, förstärks den här problematiken ytterligare.

Trojaniserade installasionspaket

HP lyfter även fram kampanjer där angripare imiterar välkända program som Microsoft Teams och sprider infekterade installationspaket som innehåller både legitim mjukvara och malware.

Den här typen av attacker utnyttjar användarnas förtroende för etablerade verktyg, något som är särskilt relevant i Norden där digitala samarbetsplattformar används i stor skala.

– Vi ser en ökning av trojaniserade installationspaket, ofta distribuerade via malvertising eller manipulation av sökresultat, säger Anna Neckelius.

Samtidigt som nya tekniker växer fram lever äldre attackmetoder kvar. Office-makron, som länge varit en vanlig attackvektor, förekommer fortfarande även om de blivit mindre vanliga.

Det visar att angripare inte nödvändigtvis överger gamla metoder, utan snarare kombinerar dem med nya.

– Dels beror det på att vissa organisationer har inaktiverat säkerhetspolicyer. Dels finns det färdiga malware-kit som gör det enkelt för angripare att fortsätta använda metoden, säger hon.

“Utgå alltid från ett zero trust-perspektiv”

Enligt Anna Neckelius är en av de mest underskattade förändringarna hur snabbt angripare anpassar sig och hur de försöker efterlikna legitima arbetsflöden.

Det handlar inte längre bara om klassiska phishingmejl, utan om attacker som smälter in i användarens vardag.

– Vi ser exempel på skadlig kod som distribueras via cookie-banners och captcha-funktioner. Det gör det allt svårare för användare att avgöra vad som är legitimt, säger hon.

Mot den bakgrunden blir säkerhetsstrategin avgörande. Enligt Anna Neckelius behöver organisationer i Norden i högre grad utgå från att incidenter kommer att inträffa och bygga skydd därefter.

– Utgå alltid från ett zero trust-perspektiv och anta att människor gör misstag. Lägg inte alla ägg i samma korg, utan kombinera flera säkerhetslager som både detekterar och isolerar hot.

Hon lyfter även vikten av att lyfta frågan på ledningsnivå.

– Säkerställ att både anställda och ledning får rätt utbildning så att de här frågorna prioriteras.

Vill du läsa rapporten i sin helhet kan du göra det här.