Ransomware-attackerna är fler än på flera år, men de begärda lösensummorna sjunker för första gången på fyra år. Enligt cybersäkerhetsföretaget Arctic Wolf är det en strategi för att öka chansen att få betalt, även om många drabbade organisationer väljer att inte betala. Under 2025 stod ransomware för 44 procent av incidenterna som hanterades av bolagets specialistteam.
– Vi ser de lägre kraven på lösensummor som en medveten strategi för att öka sannolikheten för att få betalt. Samtidigt finns det flera kända exempel som visar att utpressarna fortfarande lyckas med att komma över stora belopp, säger Christopher Fielder, fälttekniker på Arctic Wolf.
En annan trend som framgår av den nya rapporten är att angriparna strävar efter att göra det så enkelt som möjligt för sig själva, vilket påverkar deras val av metoder. Det är exempelvis lättare att logga in än att hacka sig in och att stjäla data direkt än att först kryptera det, liksom att utnyttja välkända, betrodda verktyg hellre än komplexa sårbarheter.
Ransomware fortsätter att dominera hotbilden
2025 svarade ransomware för 44 procent av alla de incidenter som hanterades av cybersäkerhetsföretagets specialistteam. Andra vanliga typer av attacker var skadlig e-post (26 procent) och dataförluster som inte berodde på ransomware (22 procent).
I de ransomware-fall som hanterades av cybersäkerhetsföretaget under 2025 uppgick kraven på lösensumma till totalt 2,8 miljarder kronor (302 miljoner dollar). Men sammanlagt betalades bara knappt 150 mkr ut i dessa fall (16,5 miljoner dollar). 77 procent av de drabbade organisationerna valde att inte betala och i de fall där förhandlingar fördes sänktes kraven med i genomsnitt 67 procent. Bara cirka fem procent av de ursprungligen begärda beloppen hamnade till sist hos brottslingarna.
Krav på lösensumma sätts inte slumpmässigt. Cyberbrottslingarna analyserar noggrant sina offer innan de ställer sina krav: bransch, omsättning, effekterna av driftstopp och till och med om företaget har en cyberförsäkring.
Goda säkerhetsrutiner stärker försvaret
Ett effektivt försvar mot ransomware börjar med grundläggande hygienfaktorer som flerfaktorsautentisering, robusta och testade backuprutiner, snabb patchning av sårbarheter och begränsning av användarrättigheter. Dessutom krävs tydliga och välövade beredskapsplaner för att kunna reagera snabbt och kontrollerat vid en attack.
– Tidig upptäckt är den absolut viktigaste faktorn för att begränsa konsekvenserna av en attack. Om vi som försvarare kan identifiera skadlig aktivitet innan angriparen kan aktivera ransomware eller komma över behörigheter, gör det en dramatisk skillnad i form av kostnader, avbrott och störningar i verksamheten. Med god beredskap kan vi agera mer beslutsamt, säger Kerri Shafer Page, chef för incidentrespons på Arctic Wolf.
Några av rapportens slutsatser:
- 92 procent av incidenterna gällde ransomware, komprometterad e-post eller dataincidenter. Dataincidenterna ökade från 2 till 22 procent.
- 77 procent av ransomware-offren betalade ingen lösensumma. Förhandlingar sänkte kraven med i snitt 67 procent.
- Nätfiske stod för 85 procent av e-postattackerna, där AI bidrar till mer övertygande bluffar.
- Angripare missbrukar allt oftare fjärråtkomstverktyg istället för att utnyttja nya sårbarheter.
- Många utnyttjade sårbarheter var kända redan 2024 eller tidigare, vilket lyfter behovet av snabb patchning.
