KELA:s rapport State of Cybercrime 2026 avslöjar 2,86 miljarder stulna autentiseringsuppgifter och uppkomsten av autonoma AI-attacker

Cyberbrottslighet utvecklas inte längre bara, det förändras på en strukturell nivå. Enligt The State of Cybercrime 2026: Emerging Threats & Predictions av KELA, förskjuter angriparna sig från traditionella intrångsmetoder till identitetsmissbruk, AI-driven automatisering och storstilad exploatering av förtroendebaserade system.

Rapporten målar upp en dystopisk bild av 2025 som en vändpunkt. Cyberkriminella bryter inte längre in i nätverk, de loggar in, ofta med hjälp av stulna autentiseringsuppgifter, AI-agenter och betrodda tredjepartssystem för att kringgå försvar helt och hållet.

Ett rekordår för cyberbrottslighet

Cyberbrottslighetens omfattning 2025 nådde utanför alla proportioner. KELA spårade 2,86 miljarder komprometterade autentiseringsuppgifter över hela det globala ekosystemet, som omfattar infostealer-malware, dataintrångs-databaser och underjordiska marknader.

Dessa autentiseringsuppgifter har blivit den primära ingångspunkten för angriparna. Istället för att utnyttja sårbarheter, förlitar sig hotaktörer alltmer på legitim åtkomst, vilket i praktiken gör perimetersäkerhetsmodeller föråldrade.

Samtidigt ökar utpressningsattacker dramatiskt. Rapporten identifierade 7 549 offer för utpressningsattacker 2025, vilket representerar en ökning med 45 procent jämfört med föregående år, med över 53 procent av offren belägna i USA.

Denna tillväxt drivs av en mognande cyberkriminell ekonomi. Det fanns 147 aktiva utpressningsgrupper, inklusive cirka 80 nya aktörer, vilket visar hur låg tröskeln för att börja är.

Infostealer-epidemin som driver allt

I centrum för denna ökning ligger uppkomsten av infostealer-malware, som nu anses vara ryggraden i modern cyberbrottslighet.

KELA observerade cirka 3,9 miljoner infekterade maskiner globalt 2025, som genererade 347,5 miljoner autentiseringsuppgifter direkt från malware-infektioner ensamma.

Det bredare ekosystemet förstärker detta dramatiskt, med miljarder autentiseringsuppgifter som cirkulerar på cyberkriminella marknader. Dessa säljs sedan vidare till utpressningsgrupper, initiala åtkomstförmedlare och nationella aktörer.

Data visar en kritisk förändring i målinriktning. Över 75 procent av de komprometterade autentiseringsuppgifterna är knutna till högvärdestjänster som företagsmolnplattformar (19,6 procent), CMS-system (18,7 procent), e-posttjänster (15,3 procent) och autentiseringssystem (12,9 procent).

Denna koncentration understryker en tydlig strategi: angriparna prioriterar plattformar som möjliggör lateralt rörelse och fullständig organisatorisk kompromettering.

macOS är inte längre säkert: en ökning med 7 000 procent

En av de mest slående upptäckterna är kollapsen av långvariga antaganden kring plattformssäkerhet.

macOS-infektioner ökade från färre än 1 000 fall 2024 till över 70 000 2025, vilket representerar en ökning med 7 000 procent.

Denna explosion drivs av kommersialiseringen av malware-as-a-service, särskilt verktyg som Atomic Stealer, som gör det möjligt för även lågkvalificerade angripare att attackera Apple-enheter i stor skala.

Implikationen är tydlig: ingen plattform är längre inneboende säker. Angriparna följer värdet, och Apple-ekosystemen är nu fast i deras sikte.

AI blir den nya attackytan

Den mest betydande förändringen som beskrivs i rapporten är den djupa integrationen av AI i cyberattackens livscykel.

KELA identifierar en övergång från AI-assisterade attacker till fullt autonoma, agentdrivna operationer, där 80 till 90 procent av uppgifterna kan utföras med minimal mänsklig inblandning.

Ett nyckelbegrepp som dyker upp från denna förändring är “vibe hacking“. Istället för att bryta AI-system, manipulerar angriparna dem genom att ramla in skadliga åtgärder som legitima uppgifter. Detta tillåter AI-agenter att omedvetet utföra skadliga operationer utan att utlösa skydd.

Rapporten betonar också verkliga fall där AI-system komprometterades genom promptinjektion och indirekt manipulation. I ett fall utförde autonoma AI-agenter rekognosering, utvecklade exploateringskod och utförde attacker mot flera mål med begränsad mänsklig övervakning.

Detta markerar en grundläggande förändring. AI är inte längre bara ett verktyg för angriparna, det är både ett vapen och ett mål.

Utpressningsattacker utvecklas till industriell utpressning

Utpressningsattacker är inte längre en enskild taktik, utan ett fullskaligt affärsmodell.

De flesta attacker förlitar sig nu på dubbel utpressning, som kombinerar datastöld med kryptering. Men utpressningsattacker utan kryptering ökar också, där angriparna hoppar över krypteringen helt och hållet och fokuserar på att stjäla och monetisera känsliga data.

Ekosystemet är mycket konkurrenskraftigt. Den främsta gruppen, Qilin, hävdade över 1 100 offer, följt av Akira med 761 offer och Clop med 523 offer.

Dessa grupper förlitar sig alltmer på stulna autentiseringsuppgifter snarare än tekniska exploateringar, ofta genom att köpa åtkomst från underjordiska förmedlare för att accelerera attacker.

Den ekonomiska påverkan är förödande. En enda dataintrång hos Jaguar Land Rover resulterade i 2,5 miljarder dollar i ekonomisk skada, inklusive produktionsstopp och försörjningskedjeavbrott som påverkade tusentals företag.

Hacktivism och geopolitik intensifierar cyberhot

Cyberbrottslighet är alltmer sammanflätad med global konflikt.

Hacktivistisk aktivitet ökade med 400 procent jämfört med föregående år, med över 3 500 DDoS-attacker och mer än 250 nya grupper som uppkom 2025.

Dessa grupper är inte längre begränsade till webbplatsdefaceringsattacker. De riktar sig mot kritisk infrastruktur, operativ teknik och industriella system, vilket skapar verkliga konsekvenser.

Samtidigt använder nationella aktörer cyberoperationer som en kärnverktyg för geopolitisk strategi. Kampanjer kopplade till Ryssland-Ukraina, Israel-Iran, USA-Kina-spänningar och Nordkorea visar hur cyberkrigföring nu omfattar spionage, störning och finansiella operationer.

Supply chain-attacker och kollapsen av förtroende

En annan definierande trend är uppkomsten av supply chain-attacker.

Istället för att rikta sig mot enskilda organisationer, komprometterar angriparna leverantörer, SaaS-plattformar och delad infrastruktur för att få åtkomst till tusentals nedströmsoffer.

I ett fall tillät en SaaS-till-SaaS-attack angriparna att gå in i Salesforce-miljöer över flera företag med hjälp av stulna OAuth-token, och kringgick traditionella säkerhetskontroller helt.

Detta reflekterar en bredare förändring. “Förtroende som standard”-modellen blir en belastning, eftersom angriparna utnyttjar relationerna mellan system snarare än systemen själva.

Noll-dagars exploatering och slutet på patchfönstret

Rapporten betonar också industrialiseringen av sårbarhetsexploatering.

Under 2025 lades 238 sårbarheter till i CISA:s katalog över kända exploaterade sårbarheter, upp från 185 föregående år.

Angriparna monetiserar nu exploateringar snabbare än någonsin, ofta inom dagar eller till och med timmar efter avslöjandet. Underjordiska marknader säljer alltmer fullt utrustade exploateringskit snarare än enkel bevis-kod, vilket sänker tröskeln för mass-exploatering.

En ny cyber-säkerhetsverklighet

Rapportens slutsatser i KELA:s State of Cybercrime 2026: Emerging Threats & Predictions rapport gör en sak tydlig: cybersäkerhet går in i en ny era.

Identitet är nu den primära attackytan. AI är både ett verktyg och en sårbarhet. Förtroendeförhållanden mellan system utnyttjas. Och attackernas hastighet accelererar bortom gränserna för traditionella försvarsmodeller.

Organisationer som fortsätter att förlita sig på äldre säkerhetsmetoder är alltmer utsatta. Övergången till identitetsbaserad säkerhet, noll-förtroendearkitektur och AI-medveten försvar är inte längre valfritt.

För en djupare analys av hotaktörer, attackmetoder och strategiska rekommendationer, erbjuder den fullständiga rapporten, The State of Cybercrime 2026: Emerging Threats & Predictions av KELA, en omfattande vy av hur cyberbrottslighetens landskap utvecklas och vart det är på väg härnäst.