År 2025 präglades av några av de mest störande och avslöjande cyberattackerna i modern tid. Även om övergripande statistik visade att den genomsnittliga kostnaden för en cyberattack minskade jämfört med tidigare år, förändrade ett begränsat antal högprofilerade incidenter bilden avsevärt. Angrepp som drabbade välkända organisationer som Marks & Spencer och Jaguar Land Rover drev upp de totala genomsnittskostnaderna och blottlade systemiska svagheter inom detaljhandel, tillverkningsindustri, flyg, offentlig sektor och globala leveranskedjor.

The biggest cyber attacks of 2025_Web header

Från storskaliga ransomwarekampanjer till riktade attacker som utnyttjade betrodd tredjepartsprogramvara bekräftade 2025 en oroande verklighet. Moderna organisationer är fortsatt djupt exponerade via molnplattformar, leverantörsekosystem, operativ teknik och delad digital infrastruktur. Inför 2026 påverkar dessa attacker redan strategier för cyber säkerhet, regulatoriska prioriteringar och investeringsbeslut.

Nedan följer några av de mest betydelsefulla och uppmärksammade cyberattackerna under 2025 och de lärdomar de för med sig. 

 

Copy of Trends image

 

Marks & Spencer och ransomwareattacken mot den brittiska detaljhandeln

Datum: April 2025
Typ av attack: Ransomware och samordnad branschattack
Hotaktör: Scattered Spider

En av årets mest uppmärksammade cyberincidenter var den samordnade ransomwarekampanjen mot flera stora brittiska detaljhandelsföretag, däribland Marks & Spencer, Co-op och Harrods. Attacken dominerade nyhetsrubrikerna i flera veckor och satte tonen för ett år präglat av sårbarheter i leveranskedjor och sektorsövergripande exponering.

Angriparna, kopplade till gruppen Scattered Spider, använde avancerade social engineering-metoder för att kompromettera en tredjepartsleverantör. Därefter kunde de ta sig in i flera detaljhandelsnätverk, distribuera skräddarsydd ransomware, exfiltrera kunddata och utfärda utpressningskrav för att förhindra offentliggörande.

Den ekonomiska påverkan var betydande. Marks & Spencer rapporterade att vinsten före skatt föll från 391,9 miljoner pund till endast 3,4 miljoner pund under de sex månader som avslutades den 27 september. Onlineförsäljning, betalningssystem och presentkortstjänster låg nere i flera veckor. Co-op drabbades av allvarliga störningar i leveranskedjan och Harrods upplevde kassaproblem och logistiska förseningar.

En sektorsövergripande utredning ledd av National Crime Agency resulterade i flera gripanden och avslöjade allvarliga brister i hanteringen av tredjepartsåtkomst inom detaljhandeln.

Viktig slutsats:
Attacken visade hur delade leverantörer och molnintegrationer kan göra hela branscher sårbara. Den ökade trycket på detaljhandeln att införa Zero Trust-arkitektur, striktare leverantörsgranskning och starkare skydd mot ransomware.

 

 

Attacken mot Jaguar Land Rovers leveranskedja

Datum: Augusti 2025
Typ av attack: Ransomware och störning av leveranskedjan
Hotaktör: Scattered Lapsus$ Hunters

I augusti 2025 drabbades Jaguar Land Rover av vad som allmänt betraktas som den mest kostsamma cyberattacken i Storbritanniens historia. Enligt Cyber Monitoring Centre beräknas kostnaden uppgå till 1,9 miljarder pund. Produktionen stoppades i fem veckor och över 5 000 företag i JLR:s globala leveranskedja påverkades. Full operativ återhämtning förväntas först i januari 2026.

Attacken tillskrevs Scattered Lapsus$ Hunters, ett löst sammansatt kriminellt nätverk med kopplingar till grupper som Lapsus$, Scattered Spider och ShinyHunters. Genom att utnyttja sårbarheter i tredjepartsleverantörers programvara kunde angriparna röra sig lateralt in i JLR:s kärnsystem. Ransomware slog ut produktions- och logistiknätverk, vilket tvingade fram tillfälliga nedstängningar av fabriker i Storbritannien, Slovakien och Brasilien.

Utöver de operativa konsekvenserna hotade angriparna att läcka känslig design- och leverantörsinformation om lösensummor på flera miljoner pund inte betalades.

Viktig slutsats:
JLR-incidenten visade att cyberattacker mot leveranskedjan kan få omedelbara fysiska och ekonomiska konsekvenser. Den underströk behovet av starkare segmentering av operativ teknik, säkra mjukvaruberoenden och rigorösa kontroller av tredjepartsrisker. 

 

image (1)

 

Attacken mot Collins Aerospace vMUSE-system för flygplatser

Datum: Mars 2025
Typ av attack: Ransomware och kompromettering av flygprogramvara
Hotaktör: Okänd ekonomiskt motiverad grupp

En ransomwareattack mot Collins Aerospace-plattformen vMUSE orsakade omfattande störningar inom europeisk flygtrafik. vMUSE används av flygplatser för incheckning och boarding av passagerare. Attacken tvingade flygbolag att återgå till manuella processer för passagerar- och bagagehantering.

Över 20 flygplatser, inklusive Heathrow, Frankfurt och Amsterdam Schiphol, drabbades av driftstörningar, vilket ledde till tusentals försenade eller inställda flyg. Brittisk polis grep en man inom ramen för utredningen enligt Computer Misuse Act, även om den ansvariga gruppen ännu inte har identifierats offentligt.

Efter incidenten utfärdade Europeiska byrån för luftfartssäkerhet brådskande riktlinjer kring hantering av tredjepartsrisker i flygplatsers IT-system.

Viktig slutsats:
vMUSE-attacken belyste hur sårbara delade kritiska system är och hur leverantörsproblem kan få kedjeeffekter. Den stärkte argumenten för redundans, hotövervakning i realtid och bättre kontroll av tredjepartsteknik inom flygsektorn.

Intrånget i St. Pauls kommunala system

Datum: Juli 2025
Typ av attack: Ransomware och störning av samhällskritisk infrastruktur
Hotaktör: Misstänkt östeuropeisk ransomwaregrupp

I juli 2025 utlyste staden St. Paul i Minnesota undantagstillstånd efter en ransomwareattack som slog ut centrala kommunala system. Attacken, som tillskrevs gruppen Interlock, komprometterade en delad nätverksenhet och krypterade system för fakturering, krissamordning och medborgartjänster.

Stadshuset och offentliga kontor låg nere i över två veckor, vilket krävde federalt stöd och hjälp från USA:s nationalgardes cyberenhet. Händelsen återupplivade debatten om kronisk underfinansiering och föråldrad IT-infrastruktur inom lokal förvaltning.

Viktig slutsats:
Intrånget i St. Paul visade hur äldre system och bristande patchning gör samhällskritisk infrastruktur extremt sårbar. Det betonade behovet av modernisering, införande av Zero Trust-kontroller och regelbundna övningar för cyberresiliens. 

 

 

IR Brochure new

 

SalesLoft-dataläckan och tredjepartskompromettering

Upptäcktsdatum: Juli 2025
Typ av attack: Kompromettering av leveranskedjan via Salesforce-kopplade OAuth-integrationer
Hotaktör: ShinyHunters, med kopplingar till Scattered Spider

En av de mest omfattande leveranskedjeincidenterna under 2025 hade SalesLoft som gemensam nämnare. Plattformen, som är djupt integrerad med Salesforce, utnyttjades av angripare som exploaterade OAuth-integrationer för att få bred åtkomst till kundmiljöer.

Bland de drabbade organisationerna fanns TransUnion, som rapporterade exponering av personuppgifter för 4,46 miljoner amerikanska konsumenter. Andra påverkade företag inkluderade Google, Workday, Farmers Insurance, Chanel och Qantas. Säkerhetsanalytiker kopplade kampanjen till ShinyHunters i samverkan med grupper som Scattered Spider, vilket speglar en växande trend där angripare fokuserar på högvärdesintegrationer för maximal effekt.

Viktig slutsats:
SalesLoft-incidenten visade hur betrodda SaaS-integrationer kan bli kraftfulla angreppsvägar. Den ledde till ökat fokus på OAuth-behörigheter, identitetssäkerhet och styrning av tredjepartsapplikationer.

Andra större cyberincidenter under 2025

Utöver de mest uppmärksammade fallen bidrog flera andra attacker till att forma det globala hotlandskapet:

  • Allianz Life-attacken: över en miljon personer påverkades efter obehörig åtkomst till ett tredjeparts-CRM med känsliga kunduppgifter.
  • Intrånget hos Bank Sepah: i Iran stals 42 miljoner kundposter i en storskalig attack som tillskrevs kollektivet Codebreakers, följt av dataläckor efter utebliven betalning av lösenkrav.
  • Attacken mot UNFI: störningar hos United Natural Foods Inc. orsakade förseningar i livsmedelsdistributionen i Nordamerika efter att elektroniska beställningssystem slagits ut.

Blicken mot 2026

Cyberattackerna under 2025 gjorde en sak tydlig. Digital resiliens kan inte längre hanteras isolerat. Tredjepartsrisker, molnintegrationer, exponering av operativ teknik och identitetssäkerhet är nu centrala delar av ett effektivt försvar. När strategierna utvecklas under 2026 kommer lärdomarna från detta år att fortsätta påverka hur organisationer, myndigheter och tillsynsorgan arbetar med cyber säkerhet i en allt mer sammankopplad värld.

Kontakta oss