Färre betalar ransomware – trots rekordmånga attacker

Ransomware är fortsatt det enskilt största cyberhotet mot företag och offentliga verksamheter. Samtidigt visar en ny rapport från Arctic Wolf att de begärda lösensummorna nu minskar för första gången på fyra år.

Enligt bolagets 2026 Threat & Predictions Report har den genomsnittliga lösensumman vid ransomware-attacker sjunkit med närmare 50 procent, till motsvarande cirka 3,7 miljoner kronor (414 000 dollar).

Minskningen beskrivs som en medveten strategi från angriparnas sida för att öka sannolikheten att få betalt.

– Vi ser de lägre kraven på lösensummor som en medveten strategi för att öka sannolikheten för att få betalt. Samtidigt finns det flera kända exempel som visar att utpressarna fortfarande lyckas med att komma över stora belopp, säger Christopher Fielder, fälttekniker på Arctic Wolf.

Så mycket betalades ut

Under 2025 stod ransomware för 44 procent av de incidenter som hanterades av Arctic Wolfs specialistteam. Skadlig e-post svarade för 26 procent och dataincidenter som inte rörde ransomware för 22 procent.

De sammanlagda kraven på lösensummor i de hanterade fallen uppgick till motsvarande 2,8 miljarder kronor. Trots det betalades endast cirka 150 miljoner kronor ut.

I 77 procent av fallen valde de drabbade organisationerna att inte betala alls. I de fall där förhandlingar förekom sänktes kraven i genomsnitt med 67 procent. Totalt landade endast omkring fem procent av de ursprungligen begärda beloppen hos angriparna.

Rapporten visar också att cyberbrottslingar i hög grad analyserar sina offer innan de ställer krav, exempelvis bransch, omsättning, konsekvenser av driftstopp och om organisationen har en cyberförsäkring.

Nätfiske stod för 85 procent av e-postattackerna

En tydlig trend är att angriparna förenklar sina metoder. I stället för att utnyttja avancerade sårbarheter använder de ofta legitima fjärråtkomstverktyg eller stulna inloggningsuppgifter.

Nätfiske stod för 85 procent av e-postattackerna, en utveckling som enligt rapporten drivs av möjligheterna att använda AI för att skapa mer övertygande bluffmeddelanden.

Datastöld utan kryptering ökar också kraftigt. Dataincidenter ökade från två till 22 procent av fallen. Det tyder på att fler angripare prioriterar utpressning baserad på stulen information i stället för att låsa system.

Samtliga av de vanligaste sårbarheterna som utnyttjades under året var kända sedan tidigare, vilket enligt rapporten understryker vikten av snabb patchning och god lösenordshantering.

“Med god beredskap kan vi agera mer beslutsamt”

Enligt Arctic Wolf är tidig upptäckt den viktigaste faktorn för att begränsa konsekvenserna av en attack.

– Tidig upptäckt är den absolut viktigaste faktorn för att begränsa konsekvenserna av en attack. Om vi som försvarare kan identifiera skadlig aktivitet innan angriparen kan aktivera ransomware eller komma över behörigheter, gör det en dramatisk skillnad i form av kostnader, avbrott och störningar i verksamheten. Med god beredskap kan vi agera mer beslutsamt, säger Kerri Shafer Page, chef för incidentrespons på Arctic Wolf.

Rapporten pekar på att grundläggande säkerhetsåtgärder som flerfaktorsautentisering, testade backuprutiner, snabb patchning och begränsade användarrättigheter fortsatt är centrala för att minska risken för allvarliga konsekvenser vid en attack.