Den största förändringen under perioden är enligt Sophos övergången från att man attackerat organisationer med egen ransomware, till modellen där grupper utvecklar olika slags ransomware och sedan erbjuder den som en tjänst (ransomware-as-a service, RaaS). Bland den typen av ransomware återfinns Conti. 

– Det här är ytterligare bevis för hur ransomware kommit att bli det dominerande cyberhotet och vi ser i princip dagligen hur företag och andra verksamheter drabbas. Samtidigt finns det ett stort mörkertal vi aldrig hör talas om i media. RaaS tillsammans med kryptovalutor skapar tyvärr goda förutsättningar för kriminella att arbeta med ransomware i stor skala, säger Per Söderqvist, säkerhetsexpert på Sophos. 

Även om ransomware-attacker utgör en majoritet av incidenterna som Sophos Rapid Response-team varit inblandade i under de senaste 18 månaderna var de inte det enda hotet. Borttagning av Cobalt Strike Beacons, kryptominerare och webbskal väckte också uppmärksamhet, särskilt efter avslöjanden om Proxylogon och senare Proxyshell. Det gjorde många människor medvetna om hur farligt ett webbskal kan vara.