En ny rapport från Barracuda visar att hela 90 procent av alla ransomware-incidenter under 2025 utnyttjade brandväggar, antingen genom programvara som inte är uppdaterad eller genom användarkonton med bristande skydd. Det snabbaste attackförloppet som registrerades gick från intrång till fullständig kryptering på bara tre timmar. Resultaten kommer från ”Barracuda Managed XDR Global Threat Report” som belyser hur cyberkriminella arbetar och vilka brister som gör organisationer särskilt utsatta.
Rapporten bygger på tusentals verkliga incidenter och visar hur angripare använder legitima IT-verktyg som program för fjärråtkomst för att dra nytta av oskyddade enheter. Den lyfter även riskerna med föråldrad kryptering, avstängda säkerhetsfunktioner på klienter och avvikande beteenden kopplade till inloggningar eller åtkomst med utökade behörigheter.
– Organisationer och deras säkerhetsteam, särskilt de som bara består av en enda IT-ansvarig, står inför enorma utmaningar. Med begränsade resurser och splittrade säkerhetslösningar måste de skydda identiteter, tillgångar och data mot nya hot som utvecklas snabbt och där angrepp kan genomföras på några få timmar, säger Merium Khalid, Director, SOC Offensive Security på Barracuda.
Nyckelfakta i rapporten
90 procent av ransomware-incidenterna utnyttjade brandväggar via kända sårbarheter (CVE:er) eller svaga konton. Angripare kan på så sätt få kontroll över nätverket och dölja sin aktivitet bakom brandväggens skydd.
Det snabbaste angreppet använde Akira-ransomware och tog tre timmar från intrång till kryptering, vilket ger försvarare mycket begränsat handlingsutrymme.
Var tionde upptäckt sårbarhet hade en känd exploit. Cyberkriminella fortsätter att använda sårbarheter i programvara, ofta i leverantörsledet, vilket understryker betydelsen av att uppdatera system i tid.
Den mest frekvent upptäckta sårbarheten var från 2013. CVE‑2013‑2566 drabbar en föråldrad krypteringsalgoritm som fortfarande förekommer i äldre servrar, inbyggda system och applikationer.
96 procent av incidenterna där angriparen rörde sig i sidled i nätverket slutade i ransomware. Rörelse i sidled är en tydlig indikator på att ett angrepp håller på att utvecklas.
66 procent av alla incidenter hade koppling till leverantörskedjan eller tredjepartsleverantörer – en tydlig ökning från 45 procent föregående år.
– Det som gör en verksamhet sårbar är ofta sådant som är lätt att förbise, en obehörig enhet som saknar skydd, ett konto som inte stängts av när någon slutat, en inaktuell applikation eller en felkonfigurerad säkerhetsfunktion. Angripare behöver bara hitta en enda svag punkt. En integrerad, AI-driven och mer autonom säkerhetslösning där experter sköter driften blir då ofta en avgörande skillnad, avslutar Merium Khalid.
Kort om studien
Resultaten bygger på det omfattande datamaterial som samlats in via Barracuda Managed XDR under 2025 med mer än två biljoner IT‑händelser, nära 600 000 säkerhetslarm och över 300 000 skyddade klienter, brandväggar, servrar och molnresurser.
BIld: Pete Linforth
