Ifølge en rapport fra Veeam, «2025 Ransomware Trends and Proactive Strategies», er ransomware-trusselen i rask utvikling. Angrepene blir stadig mer sofistikerte, og selv om enkelte store kriminelle grupper er slått ut av myndigheter, er det nå et økende antall mindre og mer uforutsigbare aktører som står bak. Rapporten bygger på en global undersøkelse blant 1.300 virksomheter og gir innsikt i hvordan selskaper påvirkes, hvilke strategier som virker – og hva som skiller de mest motstandsdyktige organisasjonene fra resten.
Nye trusler, nye taktikker
Til tross for at grupper som LockBit, BlackCat og Black Basta er satt ut av spill etter internasjonale politiaksjoner, har ikke trusselnivået sunket. Tvert imot har mange angripere skiftet fokus mot små og mellomstore virksomheter, som ofte har svakere forsvar. En særlig bekymringsfull utvikling er økningen i angrep der angriperne eksfiltrerer data – uten nødvendigvis å kryptere dem – og deretter truer med å publisere innholdet. Disse angrepene skjer ofte i løpet av timer og gir virksomheten minimal reaksjonstid.
Færre løsepenger – men høy risiko
En positiv trend er at færre virksomheter betaler løsepenger. Ifølge rapporten betalte 36 % ikke i det hele tatt, og 25 % klarte å gjenopprette sine data uten å betale. Blant dem som betalte, var summene ofte lavere enn kravet – og mange fikk bistand fra profesjonelle team for hendelseshåndtering, noe som viser seg å ha stor effekt. Troverdigheten til angriperne er også svekket, og mange organisasjoner stoler ikke på at de vil få tilgang til dataene sine tilbake etter betaling.
Juridisk og politisk press mot løsepengebetaling
Et annet pressmiddel mot løsepenger er økt regulatorisk oppmerksomhet. Ifølge rapporten samarbeider nå 68 land gjennom det amerikanskledede «Counter Ransomware Initiative», og flere land – som Storbritannia og enkelte amerikanske delstater – har innført forbud mot løsepengeutbetalinger i offentlig sektor. Dette forsterker behovet for å bygge beredskap heller enn å basere seg på betaling som siste utvei.
Samarbeid og beredskap gir bedre resultat
Et tydelig funn i rapporten er at de virksomhetene som klarte seg best etter et angrep, hadde etablert beredskapsplaner, trenede team og gode samarbeidsrutiner på tvers av IT og sikkerhet. Hele 52 % av respondentene oppgir imidlertid at de fortsatt trenger en betydelig forbedring eller total reorganisering av denne typen samarbeid. Samtidig øker deltakelsen i bransjenettverk og samarbeid med plattformer for trusselrapportering – som gir fellesskapet bedre forsvarsevne.
Økte budsjetter – men feilbalanse mellom sikkerhet og gjenoppretting
Det er gledelig at 94 % av virksomhetene økte budsjettet for gjenoppretting i 2025, og 95 % for forebygging. Likevel viser rapporten at det fortsatt brukes noe mer på sikkerhet enn på selve gjenopprettingen, som ofte blir den mest kritiske fasen under et angrep. Hele 89 % av respondentene opplevde at angriperne forsøkte å sabotere sikkerhetskopiene deres, og mange hadde verken immutablesikkerhetskopier eller testmiljø for å verifisere gjenopprettet data.
Menneskene – det glemte leddet
Bare 26 % av virksomhetene hadde en tydelig beslutningsprosess for hvordan de skulle håndtere krav om løsepenger. I tillegg var det mange som lot egne ansatte kommunisere med angriperne, noe som kan øke risikoen. De mest robuste organisasjonene brukte eksperter, hadde tydelige autorisasjonsrutiner, og hadde på forhånd etablert et «kommandosystem» for beslutninger. Her skiller rapporten tydelig mellom forberedte og uforberedte virksomheter.
Daglig disiplin er nøkkelen
Konklusjonen fra Veeams rapport er klar: Virksomheter som klarer seg best etter et angrep, har gjort cybersikkerhet til en del av den daglige driften. De trener ansatte, oppdaterer systemer, sikrer data, og har tydelige prosesser for både forebygging og gjenoppretting. Slik bygger de robusthet, ikke bare mot neste angrep, men som et grunnprinsipp i virksomhetsstyringen.
