Domänregistrarer som gått över till den mörka sidan: NIS2, KYC och gränsöverskridande takedowns 2025

Denna dramatiska ökning av skadlig aktivitet drivs delvis av en undergrupp av försummade domänregistrarer som i praktiken fungerar som möjliggörare – de ger brottslingar enkel tillgång till de domänresurser som behövs för att starta bedrägerier, skadliga malwarekampanjer och botnät. Under de nio månader som gått sedan Excedo 2024 avslöjade ”oseriösa” registrarer har ett fåtal av dessa företag enligt uppgift försett hotaktörer med över 17 000 nyregistrerade kommando- och kontrolldomäner (C2) för skadlig programvara – trots införandet av strängare branschregler och flera uppmärksammade nedstängningar av kriminell infrastruktur. Denna rapport återvänder till domänmissbrukets landskap 2025, avslöjar vilka registrarer som fortfarande blundar och undersöker de globala ansträngningarna för att ställa dem till svars.

Olagliga registrarer som underminerar domänmissbruk

Alla registrarer är inte lika när det gäller förebyggande av missbruk. De flesta registrarer följer bästa praxis för säkerhet och samarbetar med utredare, men ett fåtal ”olagliga” leverantörer fortsätter att ignorera uppenbart skadlig aktivitet på sina plattformar. Nya studier bekräftar att cyberbrottslingar medvetet flockas till vissa registrarer som erbjuder billiga, snabba och anonyma massregistreringar av domäner. En studie från Interisle Consulting Group har till exempel identifierat fyra specifika registratorer där missbruk av domänregistreringar är särskilt koncentrerat.

Dessa registrarer erbjuder paket med massköp och eftersatt kontroll, vilket gör det möjligt för cyberbrottslingar att skaffa hundratals eller tusentals domäner på några minuter. Cyberbrottslingarna använder sedan snabbt dessa domäner för spam, phishing-sidor eller som engångs-botnät-kontrollanter, i förvissning om att när en domän flaggas eller stängs av har de många fler i reserv.

Ett flagrant fall är NICENIC (NiceNIC), en asiatisk registrar som har blivit en fristad för cyberbrottslingar. En phishingrapport från 2024 avslöjade att hela 45 % av NiceNIC:s cirka 100 000 gTLD-domäner hade rapporterats för phishing. Akademisk forskning har också visat att NameSilo och NiceNIC är bland de mest missbrukade registrarerna för nyregistrerade phishingdomäner. Varför lockas brottslingar till dessa företag? En viktig faktor är anonymitet. Vissa oseriösa registrarer accepterar betalning via kryptovaluta och genomför minimala identitetskontroller. I fallet NiceNIC noterar forskare att möjligheten att betala med Bitcoin ger pseudoanonymitet för registranter, vilket gör det till en magnet för kriminellt bruk. Know Your Customer (KYC)-processer är svaga eller obefintliga hos sådana registrarer, vilket gör det möjligt för cyberbrottslingar att registrera domäner under falska namn eller skalbolag med liten risk att avslöjas. 

En annan taktik är att använda sekretess-/proxy-tjänster och GDPR-relaterad WHOIS-redigering för att dölja registrantens uppgifter. Professionella hotaktörer utnyttjar integritetsreglerna efter GDPR för att dölja sin identitet, eftersom de vet att utredare inte längre snabbt kan söka i WHOIS för att koppla domäner till samma ägare. Nettoeffekten är att dessa oseriösa domänleverantörer förser brottslingar med en stadig ström av engångswebbplatser, från vilka phishing-webbplatser, sidor för nedladdning av skadlig programvara och botnet-C2-servrar kan verka tills de upptäcks och stängs ner. Som en säkerhetsforskare beklagade har förlusten av möjligheten att koppla domäner till deras verkliga ägare ”oåterkalleligt eliminerat” förmågan att varna för nya missbruk av kända skadliga aktörer. Med andra ord bidrar den opacitet som skapas av vissa registrarers policyer (eller brist på sådana) direkt till att underlätta för cyberbrottslingar och hindra snabba nedtagningar.

Effekterna av ”strängare regler” 2024–2025

Branschen och tillsynsmyndigheterna har inte varit overksamma när det gäller det ökande missbruket av DNS. Faktum är att 2024 såg viktiga nya regler och tillsynsåtgärder som syftade till att stävja domänmissbruk. Effektiviteten av dessa åtgärder prövas dock av cyberbrottslingarna.

ICANN:s ändringar av DNS-missbruk: I april 2024 införde Internet Corporation for Assigned Names and Numbers (ICANN) ändringar i sitt standardavtal för ackreditering av registratorer (RAA) och registeravtal, som fastställer uttryckliga skyldigheter för registrarer och registrys  att agera omedelbart på rapporter om DNS-missbruk som kan leda till åtgärder. Detta var en viktig policyförändring – för första gången måste ackrediterade registrarer utreda och reagera på rapporter om skadlig programvara, nätfiske, botnätaktivitet och annat DNS-missbruk i tid, istället för att ignorera dem.

ICANN:s avdelning för avtalsefterlevnad har skärpt tillsynen i enlighet med detta. Under de första sex månaderna efter att de nya reglerna trädde i kraft (april–oktober 2024) inledde ICANN:s avdelning för compliance 192 utredningar relaterade till DNS-missbruk och rapporterade att 154 av dem hade lösts, vilket resulterade i att över 2 700 skadliga domännamn (inklusive mer än 350 nätfiske-webbplatser som togs bort) stängdes av eller raderades. Även om det är för tidigt att utropa seger, visar dessa siffror på en betydande framsteg mot att rensa upp domänekosystemet. ICANN har också visat en vilja att ”peka ut och skämma ut” eller till och med avsluta upprepade registrarers ackreditering. I augusti 2025 utfärdade ICANN ett offentligt meddelande om överträdelse till registraren WebNic (Web Commerce Communications Limited) efter att ha konstaterat att företaget inte hade vidtagit åtgärder mot flera rapporter om missbruk, särskilt domäner som användes i phishing-bedrägerier med kryptovalutor. Enligt ICANN uppvisade WebNic ett ”oroande mönster” av att dra ut på tiden – ofta åtgärder vidtogs först efter att ICANN själv blev inblandat – och förhalade klagomålen med upprepade, irrelevanta begäranden om ”mer bevis” istället för att stoppa uppenbara direkta missbruk. 

WebNic fick ett ultimatum att förbättra sig eller riskera att få sin ackreditering indragen. Detta fall sände en tydlig signal om att att ignorera missbruk kan kosta en registrar sin ackreditering. På samma sätt har registrarer/operatörer hamnat under lupp: Spamhaus rapporterar att toppdomänen .TOP (som ofta missbrukas av bedragare) fick ett formellt brev från ICANN i slutet av 2024 på grund av sin ”dåliga hantering av missbruk”.

Stora botnät nedlagda: Under tiden har brottsbekämpande myndigheter och branschpartners uppnått vissa framgångar genom att slå ut kriminella infrastrukturer. Ett uppmärksammat exempel var den multinationella operationen mot botnätet Qakbot 2023, som innebar beslagtagande av skadliga servrar och dussintals botnätdomäner. Nedstängningen av Qakbot fick stor uppmärksamhet och effekten var tydlig: antalet Qakbot-relaterade kommando- och kontrolldomäner som spårades i DNS-blocklistor minskade med över 41 % omedelbart efteråt. Sådana nedtagningar visar på potentialen i samordnade åtgärder – men de understryker också whack-a-mole-utmaningen. När ett botnät eller en phishingkampanj avvecklas omgrupperar sig angriparna ofta och registrerar nya domäner via samma försummade registrarer, såvida inte dessa registrarer själva utsätts för påtryckningar att skärpa sina rutiner.

Har dessa insatser någon effekt? Hittills är resultaten blandade. Å ena sidan ser vi en aldrig tidigare skådad tillsyn och en viss minskning av specifika missbruksmått efter uppmärksammade åtgärder. Å andra sidan är domänmissbruk fortfarande utbrett. Enbart under perioden oktober 2024–mars 2025 observerade Spamhaus 2,9 miljoner nyupptäckta skadliga domäner (en liten ökning jämfört med tidigare perioder), vilket tyder på att cyberbrottslingar fortfarande hittar gott om nya domäner för sina bedrägerier. De oseriösa registrarerna och registrys har inte alla reformerats; de fortsätter att fungera som säkra hem för olaglig verksamhet, även om nätet dras åt runt dem.

Globala policyer och lagar: GDPR, NIS2 och mer

För att bekämpa domänmissbruk krävs ett globalt tillvägagångssätt, och flera internationella rättsliga ramverk styr nu hur registrarer måste agera. Det är en känslig balans mellan integritet, säkerhet och ansvarsskyldighet.

• GDPR och WHOIS-sekretess: EU:s allmänna dataskyddsförordning (GDPR) (i kraft sedan 2018) revolutionerade dataskyddet och fick en djupgående inverkan på domänregistreringsdata. Enligt GDPR redigerade registrarer och registrys personuppgifter i offentliga WHOIS-register för att skydda europeiska användares integritet. Även om detta var en seger för integriteten, skapade det oavsiktliga konsekvenser för cybersäkerheten.
  
  Utredare och team som bekämpar missbruk förlorade plötsligt snabb tillgång till ägaruppgifter som hjälpte dem att koppla ihop skadliga domäner. En undersökning av 327 cybersäkerhetsexperter (genomförd av M3AAWG och APWG) visade att GDPR-driven redigering av WHOIS-uppgifter ”hindrar utredningar av cyberbrott”, vilket eliminerar viktiga förebyggande åtgärder och gör det möjligt för cyberbrottslingar att gömma sig bakom anonyma domänregistreringar. Begäran om icke-offentliga WHOIS-uppgifter avslås eller fördröjs ofta, även för legitima säkerhetsforskare.
  
  Kort sagt införde GDPR en avvägning mellan integritet och säkerhet: den skyddade laglydiga individers uppgifter, men skyddade också illvilliga aktörer från granskning. Domänbranschen brottas fortfarande med denna utmaning genom att utforska balanserade lösningar (såsom ackrediterad åtkomst för granskande utredare) för att återställa viss insyn utan att bryta mot integritetslagar.
  
  
• EU:s NIS2-direktiv (2022/2023): EU:s NIS2-direktiv – som medlemsstaterna nu håller på att implementera – riktar sig direkt mot vissa av de anonymitetsluckor som cyberbrottslingar utnyttjar. NIS2 utvidgar tillämpningsområdet för cybersäkerhetsregleringen till att omfatta domännamnstjänstleverantörer (registrys, registrarer, DNS-operatörer) som ”väsentliga” eller ”viktiga” enheter. Avgörande är att artikel 28 i NIS2 inför stränga krav på kundkännedom för domänregistrarer. Registrarer i EU (eller som betjänar EU-kunder) måste samla in och lagra korrekta och fullständiga domänregistreringsuppgifter och verifiera identiteten hos dem som registrerar domännamn. Falska eller påhittade kontaktuppgifter ska inte längre vara acceptabla enligt denna lag. Dessutom kommer registrarer att vara skyldiga att ge legitim begärande parter – till exempel brottsbekämpande myndigheter eller cybersäkerhetsutredare – tillgång till registreringsuppgifter i rätt tid efter en korrekt begäran. I praktiken syftar NIS2 till att minska anonymiteten som ”oseriösa” registreringar har åtnjutit. En domäninnehavare måste vara en verklig, verifierbar person eller organisation, vilket gör det svårare för brottslingar att helt enkelt försvinna bakom falska WHOIS-uppgifter. Detta är en viktig utveckling: genom att införa KYC vid domänregistreringar hoppas EU både avskräcka från missbruk (färre engångsidentiteter) och underlätta utredningar (en tillförlitlig spårbarhet till registranten). Registrarer kommer att behöva anpassa sina processer för att uppfylla kraven genom att skärpa identitetsverifieringen vid köptillfället och genomföra regelbundna kontroller av sina registrantuppgifter.
  
  
• USA:s CLOUD Act: På andra sidan Atlanten har USA utnyttjat rättsliga verktyg som Clarifying Lawful Overseas Use of Data Act (CLOUD Act) för att underlätta gränsöverskridande utredningar av cyberbrott. Den amerikanska CLOUD Act, som trädde i kraft 2018, gör det möjligt för federala brottsbekämpande myndigheter att tvinga USA-baserade teknik- och tjänsteleverantörer att överlämna data som de har i sin besittning, oavsett var dessa data lagras. För domänregistrarer och DNS-leverantörer innebär detta att om de faller under amerikansk jurisdiktion (till exempel ett företag med huvudkontor eller tillgångar i USA) måste de följa giltiga förelägganden eller order om att lämna ut kunddata eller till och med beslagta domäner, även om domänerna eller användarna befinner sig utanför USA. 
  
  Detta har möjliggjort snabbare nedtagning av kriminella domäner och innehåll: Amerikanska myndigheter kan kräva att en registrar eller ett registry stänger av en skadlig domän utan att gå igenom långdragna processer för ömsesidig rättslig hjälp. CLOUD Act väcker dock också jurisdiktions- och integritetsfrågor internationellt. Andra länder oroar sig för att USA går för långt, medan företag måste navigera mellan potentiellt motstridiga lagar (till exempel att efterkomma en amerikansk begäran om data utan att bryta mot GDPR i Europa). För att hantera detta innehåller CLOUD Act bestämmelser om bilaterala avtal och ”ömsesidiga” avtal om datadelning mellan USA och betrodda utländska regeringar. För cybersäkerhetsexperter är CLOUD Act ett tveeggat svärd: det effektiviserar insamlingen av bevis och domäninterventioner över gränserna, men tvingar också leverantörer att noggrant hantera datastyrning och transparens, med vetskap om att alla data som står under USA:s inflytande kan erhållas av myndigheter under vissa förutsättningar.
  
  
• Andra internationella åtgärder: Regeringar världen över börjar inse missbruket av domänregistreringstjänster och föreslår nya lagar för att slå ner på detta. Till exempel införde Storbritannien i början av 2025 en lag (Crime and Policing Bill) som ger brittiska myndigheter befogenhet att beordra globala nedtagningar av domäner som används i allvarliga brott. Om lagen antas skulle den ge brittisk polis en aldrig tidigare skådad möjlighet att tvinga alla registrys eller registrarer (även utanför Storbritannien) att stänga av eller radera domännamn som är inblandade i exempelvis bedrägeri, skadlig programvara eller terrorism – i praktiken skulle de få jurisdiktion över domäner som påverkar brittiska offer.
  
  Denna aggressiva strategi understryker brottsbekämpande myndigheters frustration över den långsamma takten i frivilliga åtgärder och internationellt samarbete. Den förebådar också potentiella konflikter om andra länder hävdar liknande extraterritoriella befogenheter. På multilateral nivå fortsätter ramverk som Budapestkonventionen om cyberbrott och initiativ genom Europol/Interpol att underlätta gränsöverskridande samarbete i fall av domänmissbruk, men dessa fungerar genom konsensus och informationsutbyte snarare än bindande lagstiftning.
  
  Trenden är tydlig: domänmissbruk är nu helt klart på myndigheternas radar, och registrarer måste navigera i en föränderlig lagstiftning – från dataskyddsdirektiven till cybersäkerhetsdirektiven – eller riskera böter, rättsliga förbud eller förlust av ackreditering.

Tillämpning i praktiken: Registrarer hålls ansvariga

Verkliga tillämpningsåtgärder illustrerar både framsteg och utmaningar i arbetet med att tämja oseriösa registrarer:

• ICANN:s meddelanden om efterlevnad och överträdelser: Som nämnts har ICANN:s avdelning för avtalsefterlevnad börjat utfärda meddelanden om överträdelser till registrarer som inte uppfyller sina skyldigheter att motverka missbruk. 2025 års WebNic-fall är ett utmärkt exempel. WebNic, en etablerad registrar med över 800 000 domäner under förvaltning, kritiserades offentligt för att ha ”blundat” för rapporter om missbruk. Phishingdomäner under WebNics vingar rapporterades av säkerhetsforskare, men registraren ska ha fördröjt åtgärder i veckor, upprepade gånger begärt onödiga bevis från rapporterarna och underlåtit att beakta lättillgänglig information om attackerna. Först efter att ICANN ingripit stängde WebNic av de aktuella domänerna – ett beteende som ICANN ansåg oacceptabelt. I meddelandet om överträdelsen gavs WebNic fram till augusti 2025 på sig att rätta till bristerna, annars skulle ackrediteringen upphävas. En sådan offentlig tillsyn är nytt för ICANN, som tidigare kritiserats för sin milda inställning till övervakningen av registrarer. Budskapet är nu att registrarer måste aktivt övervaka missbruk på sina plattformar, annars får de räkna med allvarliga konsekvenser.
  
  
• Rättsliga påföljder och stämningar: I allvarliga fall kan myndigheter vidta rättsliga åtgärder mot registrarer eller deras operatörer. Det är sällsynt, men det har förekommit fall där en registrars ledning har varit inblandad i brott (till exempel genom att medvetet hjälpa cyberbrottslingar eller vägra att ta bort brottsliga domäner för att tjäna pengar). I ett uppmärksammat fall hotades ledningen för en registrar som ignorerade domstolsbeslut om att ta bort terrorismrelaterat innehåll med personligt ansvar enligt antiterrorlagar (vilket tvingade dem att följa beslutet). Vanligare är dock att hotet om att förlora ackreditering eller affärer är tillräckligt för att få dem att följa reglerna. Stora företagskunder och varumärkesskyddsföretag undviker registrarer som är kända för missbruk, vilket innebär att oseriösa registrarer riskerar inte bara regleringsåtgärder utan också ryktesskada och intäktsförluster om de inte städar upp. Vi har också sett branschorganisationer som Anti-Phishing Working Group (APWG) och Messaging Malware Mobile Anti-Abuse Working Group (M3AAWG) officiellt namnge problematiska registrarer i rapporter, vilket sätter press på dessa företag att reagera eller riskera att bli utfrysta av sina partners.
  
  
• Åtgärder från nätoperatörer och gemenskapen: Den bredare internetinfrastrukturgemenskapen spelar också en roll. Till exempel kommer stora webbhotellleverantörer och administratörer av blockeringslistor för skräppost (som Spamhaus) att flagga eller blockera domäner från registratorer som upprepade gånger missbrukar sina tjänster. Spamhaus ranking av de ”10 mest missbrukade registratorerna” har historiskt sett uppmärksammat registratorer med en hög andel dåliga domäner, vilket har tvingat dessa företag att ta itu med problemen. I extrema fall kan en internetregistreringsenhet (som tilldelar IP-adresser) eller en domänregistreringsenhet införa restriktioner.
  
  Ett historiskt exempel är kollapsen av Freenoms affärsmodell – Freenom drev flera gratis domänextensioner (som .TK och .ML) som blev så översvämmade av skadlig programvara och bedrägliga webbplatser att deras uppströmsleverantörer och partners bröt samarbetet, vilket ledde till en dramatisk upprensning 2023. Det är en varnande historia: om en registrar eller ett registry blir synonymt med missbruk kan gemenskapen reagera på ett sätt som äventyrar verksamheten (från teknisk blockering till förlust av kontrakt).
  
  
• Brottsbekämpning och internationella insatser: Som nämnts visar insatser som nedstängningen av botnätet Qakbot, liksom andra insatser såsom störningen av botnätet Emotet och Europol:s europeiska centrum för cyberbrottsbekämpning beslagtagande av hundratals phishingdomäner, att brottsbekämpningen blir allt starkare inom domänområdet. Dessa åtgärder innebär ofta domstolsbeslut som ålägger registrarer/registrys att överlämna eller inaktivera domäner. I USA har federala myndigheter utnyttjat domstolsväsendet för att beslagta dussintals skadliga domäner på en gång, särskilt när domänerna finns i gTLD:er som .COM eller .ORG (som drivs av USA-baserade register). I Europa uppmuntrar initiativ inom ramen för EU:s nya gemensamma cyberenheter medlemsstaternas myndigheter att samordna nedtagningar av domäner när de ser att infrastruktur missbrukas i stor skala. Brottslingar anpassar sig dock till trycket i vissa TLD eller hos vissa registrarer och flyttar till andra som är mer offshore eller obskyra. Därför ligger fokus alltmer på registrarerna själva – för att förhindra att man spelar whack-a-mole måste de registrarer som möjliggör upprepat missbruk antingen ändra sina rutiner eller drivas ut ur branschen.

Mot ett säkrare domänsystem

Kampen mot domänmissbruk och oseriösa registrarer är långt ifrån över, men det finns lovande tecken på förändring. Samarbete mellan flera intressenter – med branschorganisationer, beslutsfattare, brottsbekämpande myndigheter och registrarer/registrys – växer fram kring idén att ett säkrare internet börjar på DNS-nivå. En viktig insikt är att systemproblem kräver systemlösningar:

• Strängare inträdeshinder för aktörer med onda avsikter: Experter förespråkar ett omfattande införande av rigorös identitetsverifiering för domänregistreringar, särskilt vid bulkinköp. Genom att göra det svårare för cyberbrottslingar att enkelt skapa nya identiteter och domäner kan antalet ”brända”-domäner minskas. NIS2 KYC-kraven är ett steg i denna riktning, och även utanför EU överväger många registrarer frivillig KYC för att förebygga missbruk.
  
  
• Standarder för rapportering och hantering av missbruk: Branschen håller på att ta fram standarder för rapportering av missbruk – till exempel ett gemensamt format för missbruksrapporter och ett ärendehanteringssystem – så att registrarer kan hantera klagomål mer effektivt. Initiativ som ICANN:s föreslagna Registration Data Request Service (RDRS) och branschens Trusted Reporter-program syftar till att effektivisera hanteringen av trovärdiga anmälningar om missbruk, så att domäner som uppenbarligen är inblandade i cyberbrott snabbt kan stängas av. Ju snabbare en skadlig domän kan tas bort, desto mindre skada kan den orsaka.
  
  
• Incitament och påföljder: Det finns en växande enighet om att frivilliga riktlinjer inte räcker – det behövs mekanismer för att säkerställa efterlevnaden. Detta kan innefatta påföljder för tjänsteleverantörer som ”kontinuerligt och oproportionerligt förser cyberbrottslingar med resurser för attacker”. I praktiken kan detta innebära ekonomiska sanktioner, förlust av ackreditering eller civilrättsligt ansvar för grov vårdslöshet mot en registrar. Omvänt kan positiva incitament (som försäkringsförmåner eller offentligt erkännande) belöna de registrarer som upprätthåller ett exemplariskt arbete mot missbruk.
  
  
• Förbättrad delning av hotinformation: Cybersäkerhetsteam delar i allt högre grad data om skadliga domäner och deras registrarer. Projekt som ICANN:s Domain Abuse Activity Reporting (DAAR) och APWG eCrime Exchange tillhandahåller översikter över missbrukstrender per registrar och toppdomän. Genom att belysa problemet tvingar dessa rapporter registrarer att agera eller möta marknadens tryck. Dessutom används framsteg inom AI och maskininlärning för att upptäcka skadliga domänregistreringar redan innan de används, genom att analysera namngivningsmönster och andra risksignaler. Även om dessa verktyg inte är helt säkra kan de hjälpa registrarer att flagga misstänkta beställningar för manuell granskning (särskilt från kunder utan tidigare historik).

Slutsats

När vi närmar oss 2025 befinner sig kampen mot domänmissbruk i ett avgörande skede. Regleringsmyndigheter i Europa, Amerika och Asien skärper kraven med lagar som kräver större ansvarstagande från registrarer. ICANN och branschorgan har gjort det tydligt att ”business as usual” är över – säkerhet kan inte längre vara en eftertanke i domännamnsbranschen. De oseriösa aktörerna pekas ut med namn, och deras utrymme för passivitet minskar. Men varaktiga förändringar kommer bara att ske om det finns ett brett engagemang från alla intressenter – registrarer, registrys, webbhotell, CERT och brottsbekämpande myndigheter – att prioritera DNS:s säkerhet och integritet. Det innebär inte bara att reagera på missbruk, utan också att proaktivt minska möjligheterna till missbruk.

För cybersäkerhetsexperter är det viktigt att hålla sig informerad om vilka leverantörer som tolererar missbruk och att utöva påtryckningar (genom företagspolicyer eller råd till kunder) för att undvika dem. Det är också avgörande att stödja och använda de nya verktygen för datadelning och identitetsverifiering inom domänområdet. Utsikterna för 2025 ger anledning till försiktig optimism: med strängare regler och ökad medvetenhet förväntar vi oss att de värsta registrarerna antingen reformeras eller försvinner från marknaden. De onda aktörerna på internet kommer utan tvekan att leta efter nya kryphål, men gemenskapen är mer förberedd än någonsin på att stänga dörren för dem. Genom att kombinera tekniska lösningar med verkställbara policyer och globalt samarbete kan vi äntligen sätta stopp för de ”skurk-registrarerna” och begränsa det domänmissbruk som alltför länge har plågat internets undersida.

Referenser:

• Interisle Consulting Group, Cybercrime Supply Chain 2024 – dokumenterar en ökning med 54 % på årsbasis av cyberattacker och 8,6 miljoner domäner som användes 2023.
• Interisle Consulting Group, Criminal Abuse of Domain Names – identifierar fyra registarer med koncentrerade missbrukande registreringar och bekräftar massregistrering som ett verktyg för cyberbrottslighet.
• Domain Name Wire – rapporterar att 45 % av domänerna hos NiceNIC svartlistades för nätfiske.
• Akademisk studie (UCL, 2025) – konstaterar att NameSilo och NiceNIC är de mest missbrukade registrarerna för nya nätfiskedomäner och noterar att brottslingar utnyttjar registrarer som erbjuder anonyma kryptovalutabetalningar.
• Gemensam undersökning av M3AAWG/APWG – beskriver hur GDPR-driven WHOIS-integritet hindrar utredningar av cyberbrott och minskar utredarnas möjlighet att identifiera brottslingar.
• Excedo Networks – Navigating NIS2 (2024) beskriver nya EU-krav för KYC vid domänregistreringar (artikel 28 i NIS2).
• ICANN Blog / Nominet (2024) – beskriver ICANN:s kontraktsändringar för 2024 om DNS-missbruk och de första sex månaderna av tillämpningen: 192 efterlevnadsåtgärder, 2 700 domäner avstängda.
• Domain Incite (augusti 2025) – Registrar skämd för påstått försummande av kryptomissbruk, angående ICANN:s meddelande om överträdelse till WebNic för underlåtenhet att agera på rapporter om phishing-missbruk. Botnet Threat Update noterar en minskning med 41 % av Qakbot C2 efter nedtagningen.
• ArchTIS Blog (maj 2025) – förklarar bestämmelserna i den amerikanska CLOUD Act om gränsöverskridande tillgång till data för brottsbekämpande myndigheter, som tvingar amerikanska leverantörer att följa lagen oavsett var data finns.
• Interisle/Anti-Abuse Working Groups – rekommendationer om att straffa leverantörer som i oproportionerlig utsträckning möjliggör cyberbrott och uppmanar till breda åtgärder från berörda parter.