Tunnisteet:

Microsoftin raportti paljastaa: Yli puolet kyberhyökkäyksistä on kiristyshaittaohjelmia ja muita kiristysyrityksiä 

Suurin osa kyberhyökkäyksistä tähtää taloudelliseen hyötyyn – valtiollisten toimijoiden hyökkäykset laajenemassa. 

Tuoreen Microsoft Digital Defense -raportin mukaan Microsoftin tietoturvatiimien viime vuonna tutkimista kyberturvatapahtumista 80 prosentissa tavoitteena oli tietojen anastaminen, ja motiivina oli useammin suora taloudellinen hyöty kuin tiedon hankkiminen. 52 prosentissa hyökkäyksistä tavoiteltiin taloudellista hyötyä, ja vakoilun osuus oli vain 4 prosenttia. Yli puolessa kyberiskuista, joiden motiivi oli selvitettävissä, oli kyse kiristyshaittaohjelmista tai muista kiristyskeinoista. Valtiollisten toimijoiden uhka on edelleen vakava ja jatkuva, mutta organisaatioihin kohdistuvista hyökkäyksistä valtaosan taustalla ovat voittoa tavoittelevat opportunistiset rikolliset. 

Automaation, helposti saatavilla olevien työkalujen ja erityisesti tekoälyn kehityksen vuoksi kyberrikollisuudesta on tullut jatkuva uhka, joka ei kohdistu ainoastaan suuryrityksiin vaan kaikenkokoisiin toimijoihin. Microsoft käsittelee joka päivä yli 100 biljoonaa kybersignaalia, estää noin 4,5 miljoonaa uutta haittaohjelmayritystä, analysoi 38 miljoonaa identiteettiriskihavaintoa ja tarkastaa 5 miljardia sähköpostia haittaohjelmien ja tietojenkalastelun varalta. 

Microsoft Digital Defense -raportti perustuu heinäkuun 2024 ja kesäkuun 2025 välillä kerättyyn kyberuhkadataan. Se nostaa esiin seuraavat trendit: 

Kartta maista, joissa asiakkaat ovat useimmin kyberhyökkäysten kohteena.

1. Yhteiskunnan kriittiset palvelut kyberrikollisten pääkohde  

Kyberhyökkäykset kohdistuvat yhä useammin kriittisiin julkisiin palveluihin, kuten sairaaloihin ja julkishallintoon. Nämä organisaatiot valikoituvat rikollisten kohteeksi, koska niissä säilytetään arkaluontoista dataa tai niillä on tiukat kyberturvabudjetit ja rajalliset resurssit. Näihin toimijoihin kohdistetaan erityisesti kirityshaittaohjelmia, koska niillä ei ole monia toimintavaihtoehtoja. Esimerkiksi sairaalan on saatava kryptatut järjestelmänsä nopeasti toimintakuntoon, tai potilaat ovat vaarassa, eli usein ainoa vaihtoehto on maksaa lunnaat. Lisäksi hallitukset, sairaalat ja tutkimuslaitokset tallentavat arkaluonteisia tietoja, joita rikolliset voivat varastaa ja myydä pimeän verkon laittomilla markkinapaikoilla. 

2. Valtiollisten toimijoiden kyberhyökkäykset laajenemassa  

Vaikka kyberrikolliset ovat suurin uhka hyökkäysten volyymilla mitattuna, raportissa tuodaan esille myös valtiollisten toimijoiden kyberhyökkäysten laajentuminen vakoiluun ja joissakin tapauksissa taloudellisen hyödyn tavoitteluun. Valtiollisten toimijoiden motiivina ovat edelleen usein geopoliittiset tavoitteet, ja niiden toiminta kohdistuu yhä enemmän viestintään, tutkimukseen ja akateemiseen maailmaan. 

Englanninkielinen kaavio sektoreista, joihin kohdistuu eniten kyberhyökkäyksiä.

Kiina keskittyy yhä laajalti vakoiluun eri toimialoilla, tavoitteena varastaa arkaluonteisia tietoja. Valtion tukemat toimijat hyökkäävät yhä useammin kansalaisjärjestöjä vastaan ja käyttävät salaisia verkkoja sekä haavoittuvia internetiin kytkettyjä laitteita päästäkseen sisään järjestelmiin. Hyökkääjät kykenevät myös hyödyntämään uusia paljastuneita haavoittuvuuksia entistä nopeammin.  

Iran kohdistaa hyökkäyksiä laajalti Lähi-idästä Pohjois-Amerikkaan, osana laajenevia vakoiluoperaatioitaan. Äskettäin kolme Iranin valtion tukemaa toimijaa hyökkäsi merikuljetus- ja logistiikkayrityksiä vastaan Euroopassa ja Persianlahdella saadakseen pääsyn arkaluonteisiin kaupallisiin tietoihin. Tämä voi viestiä, että Iran saattaa kehittää valmiuksiaan häiritä kaupallisia merirahtioperaatioita. 

Venäjä keskittyy edelleen Ukrainan sotaan, mutta on laajentanut kohteitaan. Microsoft on esimerkiksi havainnut Venäjän valtion tukemien toimijoiden kohdistavan hyökkäyksiä pienyrityksiin Ukrainaa tukevissa maissa. Ukrainan ulkopuolella kymmenen eniten Venäjän kybertoiminnan kohteeksi joutunutta maata ovat kaikki Naton jäseniä – missä kasvua on 25 prosenttia viime vuoteen verrattuna. Venäläiset toimijat saattavat nähdä nämä pienemmät yritykset mahdollisesti vähemmän resursseja vaativina välikohteina, joita he voivat käyttää päästäkseen tunkeutumaan suurempiin organisaatioihin. Venäläiset toimijat hyödyntävät myös yhä enemmän kyberrikollisten ekosysteemiä hyökkäyksissään. 

Pohjois-Korea keskittyy edelleen tulojen hankkimiseen ja vakoiluun. Merkittävää huomiota ovat julkisuudessakin saaneet tuhannet valtion tukemat pohjoiskorealaiset etä-IT-työntekijät, jotka ovat hakeneet töitä yrityksistä ympäri maailmaa ja lähettäneet palkkansa takaisin hallitukselle rahalähetyksinä. Kun heidät on paljastettu, jotkut näistä työntekijöistä ovat turvautuneet kiristykseen toisena tapana hankkia rahaa maansa hallinnolle. 

3. Tekoäly on sekä hyökkääjän että puolustajan työkalu 

Kyberrikolliset käyttävät tekoälyä tehostaakseen ja automatisoidakseen iskujaan, kuten tietojenkalastelua ja sosiaalista manipulointia. Samalla tekoäly on puolustajille korvaamaton apu uhkien tunnistamisessa ja torjunnassa.  

Myös valtiolliset toimijat ovat jatkaneet tekoälyn sisällyttämistä osaksi kybervaikuttamista. Tämä toiminta on kiihtynyt viimeisten kuuden kuukauden aikana. 

Englanninkielinen kaavio

4. Hyökkääjät eivät murtaudu sisään – he kirjautuvat sisään  

Yli 97 prosenttia identiteettihyökkäyksistä on salasanojen arvailua tai kalastelua. Pelkästään vuoden 2025 ensimmäisellä puoliskolla identiteettiin perustuvat hyökkäykset lisääntyivät 32 prosenttia. Suurin osa organisaatioon kohdistuvista haitallisista kirjautumisyrityksistä tapahtuu siis laajamittaisten salasanojen arvausyritysten kautta.  

Tunnusten tietovuodot eivät kuitenkaan ole ainoa keino hyökkääjille hankkia tunnuksia. Raportin mukaan kyberrikollisten käyttämien tietovarkaushaittaohjelmien (infostealer malware) käyttö on lisääntynyt tänä vuonna merkittävästi. Tällaiset haittaohjelmat voivat salaa kerätä tunnuksia ja tietoja verkkotileistä, kuten selaimen istuntotunnuksia. Kyberrikolliset voivat ostaa näitä varastettuja tietoja kyberrikosfoorumeilta ja päästä helposti tileille esimerkiksi kiristyshaittaohjelmien levittämistä varten. 

Paras ja yksinkertaisin tapa suojautua identiteettivarkauksilta on ottaa käyttöön vahva, kalastelua kestävä monivaiheinen tunnistautuminen. Raportin mukaan se voi estää yli 99 prosenttia identiteettipohjaisista hyökkäyksistä, vaikka hyökkääjä olisi saanut salasanan haltuunsa. 

Kyberturvallisuus on kaikkien yhteinen asia 

Uhkatoimijoiden kehittäessä toimintaansa organisaatioiden on pysyttävä valppaina, päivitettävä jatkuvasti puolustustaan ja jaettava tiedustelutietoa.

Kyberturvallisuus ei ole vain teknologinen haaste vaan välttämättömyys valtioiden kannalta. Pelkät puolustustoimet eivät riitä estämään vihamielisiä valtiollisia toimijoita. Raportin mukaan on rohkaisevaa, että hallitukset yhä useammin nimeävät ulkomaisia toimijoita syyllisiksi kyberhyökkäyksiin ja langettavat toiminnalle seurauksia, kuten syytteitä ja pakotteita. Kyberuhat aiheuttavat riskejä taloudelliselle vakaudelle, hallinnolle ja henkilökohtaiselle turvallisuudelle. Näiden haasteiden ratkaiseminen edellyttää paitsi teknologisia innovaatioita myös koordinoituja yhteiskunnallisia toimia. 

”Suomeen ei ole raporttimme mukaan kohdistunut yhtä paljon vakavia kyberhyökkäyksiä kuin muihin Pohjoismaihin tai Nato-maihin. Emme kuitenkaan ole kyberrikollisuudelta turvassa. Kyberrikolliset kehittävät koko ajan uusia hyökkäysmenetelmiä etenkin tekoälyä hyödyntäen. Uhkien torjunta vaatii jatkuvaa panostusta tietoturvan kehittämiseen sekä tiivistä yhteistyötä eri toimijoiden välillä. Microsoft on sitoutunut tekemään osansa muun muassa Secure Future Initiative -aloitteen kautta. Myös kaikkien kansalaisten tietoisuuden kasvattaminen verkkohuijausten suhteen on tärkeää”, korostaa Microsoftin Suomen teknologiajohtaja Juha Karppinen.  

Lue laajempi katsaus englanninkielisestä blogistamme ja lataa koko raportti täältä