For fjerde år på rad har det ledende, globale sikkerhetsselskapet Arctic Wolf utgitt sin sikkerhetsrapport, Threat Report 2026. Årets sikkerhetsrapport bygger på millionvis av logger fra angrepsforsøk over hele verden kombinert med data fra hendelser som eskalerte til en full Incident Response (IR). Rapporten summerer opp de vanligste angrepstypene og avdekker taktikker, teknikker og prosedyrer som cyberkriminelle bruker.

Ifølge Threat Report 2026 dominerte tre velkjente trusseltyper cyberangrepene i 2025

1. Ransomware/løspengevirus: 44%

2. Business Email Compromise/epost-phising: 26%

3. Data incidents/datainnbrudd: 22%

Til sammen utgjorde de tre typene 92 prosent av alle cyberangrep.

Ransomware – fortsatt størst

For tredje år på rad er ransomware, på norsk gjerne kalt løsepengevirus, krypterings- eller kryptovirus, den største og alvorligste kategorien av cyberangrep. Nesten halvparten av alle cyberangrep er ransomware, der hackere låser ned virksomhetens filer og krever betaling (løsepenger) for å dele kode som gjør data, filer og informasjon tilgjengelig igjen.

Selv om topplasseringen holder seg stabilt, har omfanget av angrep, taktikkene og aktørene bak endret seg, viser Threat Report 2026. Ransomware-angrepene handler i økende grad ikke bare om “kidnapping av filer”, men om datatyveri, utpressing og omdømmepress. Samtidig har økosystemet rundt ransomware blitt mer modent, med egne grupper som fordeler innbrudd, overvåking, forhandling og betaling mellom seg.

Imidlertid peker Threat Report 2026 på et par lyspunkter:

1. Suksessfulle politiaksjoner: Koordinerte politiaksjoner har redusert kriminelle grupper som LockBit, ALPHV/BlackCat og BlackSuit, og bare tre grupper (FOG, Akira og PLAY) forble i topp 10 fra fjoråret.

2. Reduserte løsepengekrav: Blant annet bedre sikkerhets- og backupløsninger bidro til at løsepengene falt fra i snitt 5,7 millioner kroner pr hendelse i 2024 til 4 millioner i 2025.

Arctic Wolf anbefaler at man tar kontakt med en profesjonell mellommann fra et IT-sikkerhetsselskap om man blir rammet av ransomware. Da kan man forhandle med angriperne og redusere pengekravet kraftig. I 77 prosent av tilfellene Arctic Wolf er involvert i, unngår man helt å betale løsepenger.

Threat Report 2026 viser også at ransomwareangrep stadig oftere kombineres med datatyveri og utpressing. Særlig gjelder dette i angrep mot europeiske virksomheter der cyberkriminelle bruker GDPR og myndighetenes varslingskrav ved datainnbrudd som pressmiddel.

E-post fortsatt åpen inngangsdør for kriminelle

Kategorien Business Email Compromise (BEC), eller angrep via eposter, står for en fjerdedel av alle cyberangrepene, ifølge Threat Report 2026. Phising, eposter der man forsøker å lure mottaker til å klikke på linker eller vedlegg fordekt som virus, utgjør 85 prosent av sakene.

De vanligste metodene de cyberkriminelle bruker for å lure mottakere er:

• CEO-/direktør-svindel

• falske fakturaer

• leverandør-imitasjon

• direkte pengeoverføringer

Amerikanske FBI estimerer at BEC årlig koster samfunnet over 30 milliarder kroner globalt.

Datainnbrudd utnytter fjernaksessverktøy

Veldig mange er opptatt av Zero Day-sårbarheter, men Threat Report 2026 viser at de fleste angrep skjer via kjente svakheter i vanlige fjerntilgangsverktøy som Remote Desktop (RDP), VPN-løsninger, Remote Monitoring and Management (RMM).

De ulike metodene for datainnbrudd fordeler seg slik:

• Eksterne fjernaksessverktøy (RDP, VPN, RMM): 65%

• Eksterne sårbarheter: 11%

• Feilkonfigurasjoner og tillitsrelasjoner: 8%

• Sosial manipulering og phishing: 7%
  

I stedet for zero-day-sårbarheter bruker man legitime verktøy eller stjålne brukerkontoer og har tilgang i IT-miljøet med lav risiko for å bli oppdaget. Den mest effektive løsningen er å ha god tilgangskontroll og gode overvåkningsløsninger av IT-infrastrukturen.

Spådommer for 2026: AI og utnyttelse av globale hendelser

Threat Report 2026 avslutter med å peke på sannsynlige trender i inneværende år. Arctic Wolf trekker frem særlig to utviklingstrekk: kunstig intelligens (KI/AI) og utnyttelse av globale hendelser.

KI gjør det enklere å bruke sosial manipulasjon til å få tilgang til kontoer, etterligne stemmer og lage deepfake-videoer. KI gjør det også enklere å finne og sammenstille informasjon og å etterligne websider, produkter og tjenester.

Arctic Wolf advarer mot særlig to trender:

Informasjonskrigføring:

Arctic Wolf forventer en kraftig økning i feilinformasjon, desinformasjon og ondsinnede kampanjer som forsøker å påvirke politikken og opinionen, skape misnøye og drive splittelser inn i befolkningsgrupper.

Utnyttelse av globale hendelser:

Kriminelle vil utnytte valg, idrettsarrangementer og andre større hendelser ved hjelp av sosial manipulering, billettsvindel og levering av skadelig programvare via falske strømmetjenester.

Litt lenger frem advarer Arctic Wolf mot hva tilgang på quantum computing kan føre til. Mange kriminelle organisasjoner tar vare på krypterte data. De regner med at i løpet av få år vil enda kraftigere dataverktøy muliggjøre dekryptering som i dag ikke er mulig.

Hva betyr dette for norske virksomheter?

Threat Report 2026 viser at:

• Trusselbildet er relativt stabilt, men at metodene utvikler seg.

• Identitet og tilgang er en hovedrisiko.

• Datatyveri er like alvorlig som ransomware.

• Sikkerhetsløsninger, backup og beredskap reduserer faktisk behovet for å betale løsepenger

Sicras anbefaling

Basert på funnene i rapporten anbefaler Sicra at virksomheter:

• Gjennomgår alle tilgangs- og fjernaksessløsninger og identitetskontroll.

• Tester at backup og gjenoppretting (restore) virker i praksis.

• Involverer ledelse og styre i risikoarbeidet

• Vurderer hvordan regelverk påvirker IT-innbrudd og datatap

Alle virksomheter står overfor utfordringene som rapporten beskriver. Sicra hjelper ledere med å forstå, styre og redusere digital risiko – strukturert, forretningsnært og i tråd med regulatoriske krav.

Les også "Cybertrusselbildet 2026: Innsikt fra Arctic Wolf sin trusselrapport" >

Les også "2026 Arctic Wolf Threat Report" >