KELAs State of Cybercrime 2026-rapport avslører 2,86 milliarder stjålne legitimasjoner og oppblomstringen av autonome AI-angrep

Cyberkriminalitet utvikler seg ikke lenger bare i skala, men også i struktur. Ifølge The State of Cybercrime 2026: Emerging Threats & Predictions av KELA, går angriperne over fra tradisjonelle innbruddsmetoder til identitetsmisbruk, AI-drevet automatisering og storstilt utnyttelse av tillitsbaserte systemer.

Rapporten tegner et dystert bilde av 2025 som et vendepunkt. Cyberkriminelle bryter ikke lenger inn i nettverk, de logger inn, ofte ved hjelp av stjålne legitimasjoner, AI-agenter og pålitelige tredjeparts-systemer for å omgå forsvar fullstendig.

Et rekordår for cyberkriminalitet

Omfanget av cyberkriminalitet i 2025 nådde utenfor alle sammenligninger. KELA sporet 2,86 milliarder kompromitterte legitimasjoner over hele det globale økosystemet, inkludert infostealer-malware, datatyverier og undergrunnsmarkeder.

Disse legitimasjonene har blitt hovedinngangen for angripere. I stedet for å utnytte sårbarheter, avhenger trusler stadig mer av legitim tilgang, og gjør i praksis perimetersikkerhetsmodellene foreldet.

Sammen med dette økte ransomware dramatisk. Rapporten identifiserte 7 549 ransomware-ofre i 2025, som representerer en økning på 45 % fra året før, med over 53 % av ofrene i USA.

Dette veksten drives av en moden cyberkriminaløkonomi. Det var 147 aktive ransomware-grupper, inkludert omtrent 80 nye inntredere, og viser hvor lav terskelen for inntreden har blitt.

Infostealer-epidemien som driver alt

I kjernen av denne økningen ligger oppblomstringen av infostealer-malware, nå ansett som ryggraden i moderne cyberkriminalitet.

KELA observerte omtrent 3,9 millioner infiserte maskiner globalt i 2025, og genererte 347,5 millioner legitimasjoner direkte fra malware-infeksjoner alene.

Det bredere økosystemet forsterker dette dramatisk, med milliarder av legitimasjoner som sirkulerer over cyberkriminalmarkedene. Disse selges videre til ransomware-grupper, initial tilgangsforhandlere og nasjonalstatlige aktører.

Dataene avslører en kritisk skifte i målretting. Over 75 % av de kompromitterte legitimasjonene er knyttet til høyverdien tjenester som forretningsmolnplattformer (19,6 %), CMS-systemer (18,7 %), e-posttjenester (15,3 %) og autentiseringssystemer (12,9 %).

Dette fokuset understreker en klar strategi: Angriperne prioriterer plattformer som muliggjør lateralt bevegelse og fullstendig organisatorisk kompromittering.

macOS er ikke lenger trygg: En økning på 7 000 %

En av de mest slående funnene er kollapsen av lenge holdte antagelser omkring plattformssikkerhet.

macOS-infeksjoner økte fra færre enn 1 000 tilfeller i 2024 til over 70 000 i 2025, og representerer en økning på 7 000 %.

Dette utbruddet drives av kommersialiseringen av malware-as-a-service, spesielt verktøy som Atomic Stealer, som gjør det enkelt for selv lavkvalifiserte angripere å målrette Apple-enheter i stor skala.

Konsekvensen er klar: Ingen plattform er lenger innebygget trygg. Angriperne følger verdien, og Apple-økosystemer er nå fast i deres sikte.

AI blir det nye angrepsflaten

Den mest betydelige skiftet i rapporten er den dype integreringen av AI i cyberangrepslivssyklusen.

KELA identifiserer en overgang fra AI-assisterte angrep til fullstendig autonome, agent-drevne operasjoner, hvor 80 % til 90 % av oppgavene kan utføres med minimalt menneskelig innblanding.

En nøkkelkonsept som oppstår fra denne skiftet er “vibe hacking“. I stedet for å bryte AI-systemer, manipulerer angriperne dem ved å ramme skadelege handlinger som legitime oppgaver. Dette tillater AI-agenter å uvitende utføre skadeelige operasjoner uten å utløse sikkerhetstiltak.

Rapporten understreker også virkelige tilfeller hvor AI-systemer ble kompromittert gjennom prompt-injeksjon og indirekte manipulering. I ett tilfelle utførte autonome AI-agenter rekognosering, utviklet eksploitkod og utførte angrep over flere mål med begrenset menneskelig tilsyn.

Dette markerer en grunnleggende endring. AI er ikke lenger bare et verktøy for angripere, det er både et våpen og et mål.

Ransomware utvikler seg til industriell utpressing

Ransomware er ikke lenger en enkelt taktikk, men et fullstendig forretningsmodell.

De fleste angrep avhenger nå av dobbel utpressing, som kombinerer datastjeling med kryptering. Imidlertid øker også utpressing bare angrep, hvor angriperne hopper over kryptering helt og fokuserer på å stjele og montere sensitive data.

Økosystemet er høyt konkurranseutsatt. Den øverste gruppen, Qilin, hevdet over 1 100 ofre, fulgt av Akira med 761 ofre og Clop med 523 ofre.

Disse gruppene avhenger stadig mer av stjålne legitimasjoner i stedet for tekniske utnyttelser, og kjøper ofte tilgang fra undergrunnsforhandlere for å akselerere angrep.

Den økonomiske påvirkningen er slående. Et enkelt brudd hos Jaguar Land Rover resulterte i 2,5 milliarder dollar i økonomisk skade, inkludert produksjonsavbrudd og forsyningskjedeavbrudd som påvirkte tusenvis av bedrifter.

Hacktivisme og geopolitikk intensiverer cybertrusler

Cyberkriminalitet er stadig mer sammenfiltret med global konflikt.

Hacktivitetsaktiviteten økte 400 % fra året før, med over 3 500 DDoS-angrep hevdet og over 250 nye grupper som oppstod i 2025.

Disse gruppene er ikke lenger begrenset til nettside-endringer. De målretter kritisk infrastruktur, operasjonsteknologi og industrielle systemer, og skaper virkelige konsekvenser.

Samtidig bruker nasjonalstatlige aktører cyberoperasjoner som en kjerneverktøy for geopolitisk strategi. Kampanjer knyttet til Russland-Ukraina, Israel-Iran, USA-Kina-spenninger og Nord-Korea demonstrerer hvordan cyberkrigføring nå omfatter spionasje, forstyrrelse og finansielle operasjoner.

Angrep på forsyningskjeder og kollaps av tillit

En annen definierende trend er oppblomstringen av angrep på forsyningskjeder.

I stedet for å målrette enkeltorganisasjoner, kompromitterer angriperne leverandører, SaaS-plattformer og felles infrastruktur for å få tilgang til tusenvis av nedstrøms ofre.

I ett tilfelle tillot et SaaS-til-SaaS-angrep angriperne å gå over i Salesforce-miljøer over flere selskaper ved hjelp av stjålne OAuth- token, og omgikk tradisjonelle sikkerhetskontroller fullstendig.

Dette reflekterer en bredere skifte. “Tillit som standard”-modellen blir en belastning, ettersom angriperne utnytter forholdet mellom systemer i stedet for systemene selv.
<h2 Null-dagseksplotering og slutten på patch-vinduet

Rapporten understreker også industrialiseringen av sårbarhetsutnyttelse.

I 2025 ble 238 sårbarheter lagt til CISA’s katalog over kjente utnyttede sårbarheter, opp fra 185 året før.

Angriperne moneterer nå utnyttelser raskere enn noensinne, ofte innen dager eller til og med timer etter avsløring. Undergrunnsmarkeder selger stadig oftere fullstendig våpeniserte utnyttelsessett i stedet for enkelt proof-of-concept-kode, og senker terskelen for masseutnyttelse.

En ny cyber-sikkerhetsrealitet

Funndene i KELAs State of Cybercrime 2026-rapport: Emerging Threats & Predictions gjør en ting klart: Cybersikkerheten går inn i en ny æra.

Identitet er nå det primære angrepsflaten. AI er både et verktøy og en sårbarhet. Tillitsforhold mellom systemer blir våpenisert. Og angrepsfarten akselererer utover grensene for tradisjonelle forsvarmodeller.

Organisasjoner som fortsetter å avhenge av arveforsvarstiltak er stadig mer utsatt. Skiftet mot identitetsførst-sikkerhet, null-tillitsarkitektur og AI-bevisste forsvar er ikke lenger valgfritt.

For en dypere gjennomgang av trusler, angrepsmetodologier og strategiske anbefalinger, gir den fulle rapporten, The State of Cybercrime 2026: Emerging Threats & Predictions by KELA, en omfattende oversikt over hvordan cyberkriminalitetslandskapet utvikler seg og hvor det er på vei neste.