Cyberkriminelle gennemfører flere ransomware-angreb end nogensinde før, men kræver markant lavere løsesummer end tidligere.
Det viser den nyligt offentliggjorte 2026 Threat Report fra cybersikkerhedsvirksomheden Arctic Wolf.
Rapporten dokumenterer et markant skifte for de it-kriminelle og deres metoder: Det gennemsnitlige indledende løsepengekrav er næsten halveret til 414.000 dollar og falder dermed for første gang i fire år.
Men Arctic Wolf vurderer, at de lavere krav er en bevidst strategi, der skal øge sandsynligheden for betaling. Det ændrer dog ikke ved, at ransomware fortsat er den største cybertrussel mod virksomheder og offentlige organisationer, hvilket bekræftes ved, at mængden af ransomware-angreb stiger i samme periode.
Ransomware dominerer fortsat trusselsbilledet
I 2025 stod ransomware for 44 procent af alle hændelser, som Arctic Wolf håndterede. Andre udbredte angrebstyper var Business Email Compromise – e-mail-bedrageri – (26 procent) og datatab uden brug af ransomware (22 procent).
I de ransomware-sager, Arctic Wolfs incident response-team håndterede i 2025, krævede cyberkriminelle samlet set over 302 millioner dollar i løsepenge, hvor der i sidste ende blev der betalt knap 16,5 millioner dollar.
I 77 procent af tilfældene valgte organisationerne at undlade at betale, og i de sager, hvor der blev forhandlet, lykkedes det i gennemsnit at reducere kravene med 67 procent. Samlet betyder det, at kun omkring fem procent af det oprindeligt krævede beløb reelt endte hos de kriminelle.
Danmark følger det europæiske mønster
Danmark oplever færre offentliggjorte ransomware-sager end blandt andre Tyskland og Storbritannien, men udviklingen følger det samme trusselsmønster.
Ifølge Arctic Wolf var det især grupper som Qilin, RansomHub og Akira, der rettede angreb mod danske organisationer i 2025. Angrebene ramte primært små og mellemstore virksomheder inden for byggeri, detailhandel, luftfart, engroshandel, uddannelse og tele- og kommunikationsvirksomheder.
Rapporten peger desuden på bredere trusselsaktivitet i Danmark i 2025, herunder koordinerede DDoS-angreb rettet mod kommuner og offentlige tjenester op til kommunalvalget i november.
Samtidig fremhæves danske organisationers afhængighed af eksterne leverandører og udbredte digitale platforme som en risikofaktor, fordi kompromittering ét sted hurtigt kan sprede sig til mange virksomheder.
Kravene skræddersys og forebyggelse er afgørende
Løsepengekrav bliver ikke fastsat tilfældigt. Cyberkriminelle analyserer nøje deres ofre – branche, omsætning, konsekvensen af nedetid og endda om virksomheden har en cyberforsikring.
”Vi ser, at de indledende krav sænkes for at øge sandsynligheden for betaling. Samtidig viser store, offentligt kendte løsepengebetalinger, at der fortsat kan opnås meget høje beløb. Så længe virksomheder betaler store summer, vil det holde niveauet kunstigt højt,” siger Christopher Fielder, Field CTO hos Arctic Wolf.
Hos Arctic Wolf peger man samtidig på, at modstandskraften mod ransomware begynder med grundlæggende cyberhygiejne som multifaktorgodkendelse, robuste og testede backupløsninger, hurtig patching af sårbarheder og begrænsning af brugerrettigheder. Derudover bør virksomheder have klare og øvede beredskabsplaner, så de kan reagere hurtigt og kontrolleret i tilfælde af et angreb. Tidlig detektion og hurtig beslutningstagning er afgørende for at begrænse skaderne – uanset om der i sidste ende stilles krav om løsepenge eller ej.
