Rapporter

Black Kites 2026-rapport om finansielle tjenester advarer om en voksende krise innen cybersikkerhet i bank- og investeringsbransjen

mm
Publisert

En ny rapport fra Black Kite antyder at den finansielle sektoren går inn i en farligere fase av cyberrisiko, hvor tradisjonelle ransomware-angrep og raskt økende tredjeparts-sårbarheter konvergerer til det som selskapet beskriver som en “dobbelt storm”. I deres nylig utgitte 2026-rapport om finansielle tjenester: Den dobbelte stormen av ransomware og leverandør-økosystem-risiko, fant Black Kites forskningsteam at finansielle institusjoner samtidig møter en økning i direkte ransomware-angrep og blir mer utsatt gjennom leverandørene og tjenesteleverandørene som støtter deres operasjoner.

Rapporten bygger på ransomware-intelligens samlet mellom januar 2023 og første kvartal 2026, samt en analyse av over 17 000 leverandører overvåket av Black Kite, inkludert 140 selskaper hvis kundebaser er konsentrert i finansielle tjenester. Funndene peker på en trussellandskap som har utviklet seg bort fra isolerte hendelser og nå representerer en systemisk utfordring for banker, investeringsfirmaer, fondsforvaltere og andre finansielle institusjoner.

Ransomware returnerer etter en kort pause

Finansielle institusjoner opplevde en midlertidig nedgang i ransomware-aktivitet under 2024, hovedsakelig på grunn av internasjonale politioperasjoner som målrettede større ransomware-grupper som LockBit og Clop. Imidlertid indikerer Black Kites forskning at nedgangen var kortvarig.

Rapporterte ransomware-hendelser som målrettede finansielle organisasjoner økte fra 156 i 2024 til 202 i 2025, noe som representerer en økning på 30%. Økningen synes å fortsette i 2026. Under første kvartal alene, dokumenterte forskerne 65 ransomware-hendelser, et tall som overstiger samme periode i 2025 med 76%.

I stedet for å forsvinne, reorganiserte ransomware-operatørene seg. Antallet distinkte trusselgrupper som målrettede den finansielle sektoren økte fra 37 i 2023 til 45 i 2024 og deretter steg igjen til 48 i 2025. Nye ledere dukket opp, med Qilin, Akira og Kill Security som blant de mest aktive gruppene som målrettede finansielle institusjoner. Qilin alene var ansvarlig for 59 finanse-sektor-hendelser over det siste året.

Investeringsselskaper har blitt det primære målet

En av de mer merkverdige endringene dokumentert i rapporten er den skiftende profilen til ransomware-ofre.

I 2023 var banker det mest målrettede finansielle underbransjen, med 71 rapporterte hendelser. Investeringsselskaper hadde 44 hendelser det året. Ved 2025 hadde situasjonen snudd. Investeringsselskaper ble det mest målrettede segmentet med 84 hendelser, noe som representerer 41,6% av alle ransomware-avsløringer i den finansielle sektoren. Bankhendelser falt til 36.

Ifølge rapporten var en betydelig driver bak denne endringen en kampanje mot sørkoreanske fondsforvaltere i september 2025. Den enkeltkampanjen genererte 32 avsløringer og sto for over 38% av alle ransomware-hendelser registrert innen investeringsforvaltningssegmentet det året.

Den geografiske fordelingen av angrep avslører også hvordan konsentrerte kampanjer kan bli. Mens USA forble det mest målrettede landet gjennom hele studieperioden, dukket Sør-Korea opp som en stor hotspot etter en stor skade på leverandørkjeden som påvirkte dusinvis av finansielle organisasjoner.

Leverandør-risiko øker raskere enn direkte angrep

Mens ransomware-overskrifter ofte fokuserer på angrep mot enkelte institusjoner, argumenterer Black Kite for at leverandør-økosystemer nå representerer en like viktig kilde til risiko.

Rapporten fremhever en hendelse i september 2025 hvor kompromitteringen av en enkelt managed service provider i Sør-Korea førte til at 28 finansielle institusjoner ble påvirket og resulterte i tyveriet av over to terabyte data. Forskerne beskriver hendelsen som et eksempel på hvordan en enkelt brudd kan skape systemiske konsekvenser over hele sektoren.

Sårbarhetsprofilen til leverandører som betjener finansielle institusjoner, ser ut til å forverres raskt. Blant de 140 leverandørene som ble analysert i detalj, økte antallet med kritiske sårbarheter med CVSS-poeng på 9 eller høyere fra 15 i 2024 til 73 i 2025, en 4,9-gangs økning. Leverandører med høyrisiko-sårbarheter med poeng på 8 eller høyere økte fra 31 til 87 i samme periode.

Forskere fant også at 54% av finanse-fokuserte leverandører hadde minst en sårbarhet som er listet i CISA’s Known Exploited Vulnerabilities-katalog, noe betyr at angripere allerede utnytter disse svakhetene i virkelige angrep.

Patch-håndteringssvikt forblir utbredt

Mange av svakhetene som er identifisert i rapporten er ikke eksotiske zero-day-sårbarheter, men heller langvarige sikkerhetsproblemer som organisasjoner har slitt med å løse.

Blant de 140 leverandørene som ble undersøkt, viste 109 organisasjoner, eller 78%, minst ett kritisk patch-håndteringssvikt. Feilkonfigurerte e-postautentifiseringsystemer var også vanlige, med 47 leverandører som opererte med feilkonfigurerte DMARC-poster og 37 leverandører som viste feilkonfigurerte DKIM-implementeringer.

Rapporten fant også bevis på bredere sikkerhets-hygiene-problemer over hele leverandør-økosystemet. Nesten 18% av finanse-fokuserte leverandører hadde lekkede legitimasjoner som var åpne i offentlige kilder, mens over 42% viste tegn på legitimasjoner som dukket opp i stealer-logger. Forskerne identifiserte også phishing-infrastruktur-indikatorer, skadelig IP-kommunikasjon og botnet-infeksjoner over betydelige deler av leverandørpopulasjonen.

Sårbarhets-eksplosjonen er bare i begynnelsen

Funndene kommer samtidig som organisasjoner står overfor en raskt økende mengde nyoppdagede programvare-sårbarheter.

Ifølge rapporten ble over 48 000 Common Vulnerabilities and Exposures (CVEs) publisert globalt i 2025, en økning på 18% fra året før. Black Kite-forskere identifiserte 1 240 av disse sårbarhetene som høyprioritets-risiko for tredjeparts-leverandørkjeder, en økning på 59% fra 2024.

Rapporten argumenterer for at kunstig intelligens sannsynligvis vil akselerere denne trenden. AI-assisterte sårbarhets-oppdagelsesverktøy øker hastigheten på hvilken sikkerhetssvakheter kan identifiseres, mens AI-systemer selv skaper nye angrepsflater som organisasjoner må sikre. Som følge av dette kan finansielle institusjoner snart møte en større og raskere strøm av utnyttbare sårbarheter enn tradisjonelle risikostyringsprosesser var designet for å håndtere.

Finansiel cybersikkerhet blir et leverandørkjede-problem

Den sentrale konklusjonen i Black Kites 2026-rapport om finansielle tjenester er at finansielle institusjoner ikke lenger kan se på cybersikkerhet bare gjennom linsen til deres egne interne forsvar. Rapportens analyse viser at ransomware-aktivitet øker igjen samtidig som leverandør-økosystemer blir mer sårbare. Kritiske sårbarheter blant finanse-fokuserte leverandører har skutt i vej, utnyttelses-tidslinjer fortsetter å skrumpe, og en enkelt kompromittert leverandør kan nå påvirke dusinvis av institusjoner samtidig.

Som rapporten påpeker, øker motstanden stadig avhengig av en organisasjons evne til kontinuerlig å identifisere, prioritere og reagere på risiko over både deres interne miljø og deres utvidede leverandørkjede. For en bransje bygget på sammenkoblede programmer, tjenesteleverandører og outsourcet infrastruktur, er tredjeparts-risikostyring ikke lenger en compliance-øvelse. Ifølge Black Kites forskning, blir det en grunnleggende komponent i finansiell sektorsikkerhet.

mm

Antoine er en visjonær leder og medstifter av Unite.AI, drevet av en urokkelig lidenskap for å forme og fremme fremtiden for AI og robotikk. En serial entrepreneur, han tror at AI vil være like disruptiv for samfunnet som elektrisitet, og blir ofte fanget i å prise potensialet for disruptive teknologier og AGI.

Som en futurist, er han dedikert til å utforske hvordan disse innovasjonene vil forme vår verden. I tillegg er han grunnlegger av Securities.io, en plattform fokusert på å investere i banebrytende teknologier som omdefinerer fremtiden og omformer hele sektorer.