ENISA hotbildsrapport

Cybersäkerhetsläget i Europa under perioden juli 2024 till juni 2025 präglas av fler samtidiga hot som verkar överlappande och i högre takt. Angripare utnyttjar sårbarheter betydligt snabbare efter offentliggörande än tidigare, samtidigt som social ingenjörskonst och industrialiserat nätfiske fortsätter vara den mest använda vägen in. Sammantaget rör sig landskapet mot konvergens mellan aktörer, ökad automatisering och en tydlig professionalisering av kriminella ekosystem.
Tre aktörsgrupper dominerar mönstret: cyberkriminella som söker ekonomisk vinning, statsstödda grupper med långsiktigt spionagefokus, samt hacktivister som driver ideologiska DDoS-kampanjer. Hacktivism genererar störst antal registrerade incidenter, men med låg teknisk komplexitet och oftast begränsad operativ påverkan. Cyberkriminella står för majoriteten av intrång med skadlig kod som ransomware, banktrojaner och informationsstjälare. Statsanknutna aktörer fokuserar på telekom, logistik och tillverkning, ofta med avancerade metoder som försörjningskedjeangrepp och missbruk av signerade drivrutiner för att undvika upptäckt.
Nätfiske är fortfarande den främsta intrångsvektorn. Under perioden breddades teknikerna, från QR-baserade kampanjer till falska CAPTCHA-överlägg som lurar användare att köra PowerShell. Phishing-as-a-Service har sänkt trösklarna, där plattformar klonar inloggningssidor, automatiserar utskick och kringgår flerfaktorautentisering via mellanmansattacker. Samtidigt är exploatering av nyupptäckta sårbarheter en stabil tvåa bland intrångsmetoderna och leder ofta direkt till installation av skadlig kod. Angrepp på digitala beroenden ökar, inklusive skadliga paket i öppen källkod, komprometterade webbläsartillägg och attacker mot tjänsteleverantörer. Den tendensen förstärker systemrisker eftersom ett intrång i ett nav kan spridas till många kunder.
Sektorerna påverkas olika. Offentlig förvaltning är mest utsatt, framför allt för hacktivistledda DDoS-kampanjer i samband med val och andra synliga händelser. Transportsektorn – särskilt flyg och logistik – drabbas av både DDoS och ransomware som orsakar driftsstörningar. Digital infrastruktur och tjänster är strategiska mål för både spionage och utpressning, eftersom datamängderna är stora och enstaka leverantörer kan bli spridningspunkter. Finanssektorn bombarderas av DDoS mot banker, medan cyberkriminella intrång även leder till dataläckor och utpressning. Tillverkningssektorn klättrar i riskranking, med ett tydligt mönster av ransomware som stör produktion och affärskontinuitet.
Ransomware förblir det enskilt mest påverkande hotet. Ekosystemet fragmenteras och förnyas snabbt när brottsbekämpande insatser slår mot stora aktörer: kända programvaror försvagas eller går under samtidigt som nya varianter och RaaS-upplägg tar plats. Kriminella inför dessutom EDR-kill-verktyg, signerade drivrutiner och mer aggressiva pressmetoder i dubbel utpressning, exempelvis nedräkningstimer och funktioner som simulerar juridisk eskalering. Informationsstjälare fortsätter att vara grundläggande möjliggörare för stulna inloggningar, sessioner och vidare intrång; även när infrastrukturer tas ned återhämtar sig marknaden snabbt.
Statsstödda grupper från framför allt Ryssland och Kina fortsätter med uthålligt cyberespionage mot europeiska mål. Taktikerna inkluderar komprometterade kantenheter, försörjningskedjor och långvarig närvaro i nät. Nordkorearelaterade aktörer uppvisar blandade ekonomiska och spionageinriktade mål, inklusive försök att ta roller i EU-bolag för att få åtkomst inifrån. Samtidigt ökar gråzonen där statliga aktörer använder hacktivistfasader och där cyberkriminella lånar statliga metoder, vilket försvårar attribuering och respons.
Mobilenheter är en växande angreppsyta, med en tydligare risk för Android. Banktrojaner och RAT:ar utvecklas mot bedrägerier direkt på enheten och kontoövertagande. Statskopplade kampanjer riktar in sig på meddelandeappar och missbrukar funktioner för länkade enheter eller QR-parning. På infrastruktursidan kvarstår sårbarheter i gamla signalprotokoll, vilket möjliggör övervakning och spårning utan fysisk åtkomst till telefonen.
Artificiell intelligens har blivit ett nyckelelement. AI används för att skala social ingenjörskonst, skriva bättre phishingmeddelanden, generera röstbedrägerier och skapa skadlig kod snabbare. Angripare rör sig från jailbreakade konsumentmodeller till skräddarsydda lokala system. Samtidigt blir AI själv en attackyta: förgiftade ML-modeller, manipulerade paket i utvecklingspipelines och kritiska sårbarheter i AI-verktyg och deras beroenden belyser behovet av säkrade AI-försörjningskedjor.
Teknikmönstren i intrång är stabila: exploatering av exponerade tjänster, lokala privilegiehöjningar, klientexekvering via dokument och webbläsare, samt lateral förflyttning och dataexfiltration. Rekommendationerna följer därefter: härda system med säkerhet-by-design och strikt konfiguration, förvalta identiteter och privilegier med MFA och principen om minsta behörighet, segmentera nät och filtrera trafik, övervaka beteenden och jaga hot kontinuerligt, samt bygga motståndskraft med testade incidentplaner och återställningsförmåga. Framåtblickande talar det mesta för att trycket ökar längs linjerna konvergens, automatisering och industrialisering. För EU:s organisationer är nyckeln att kombinera snabb sårbarhetshantering och proaktiv detektion med en systemisk syn på leverantörsberoenden och att säkra såväl traditionell IT som AI-drivna miljöer.
​

Your browser does not support viewing this document. Click here to download the document.