Cybertrusler udvikler sig med hidtil uset hastighed, drevet af fremskridt inden for kunstig intelligens (AI) og stigende geopolitiske spændinger, ifølge Truesecs nyligt offentliggjorte Threat Intelligence Report 2026. Rapporten afslører, at angribere i stigende grad retter sig mod mennesker frem for systemer, mens udviskede grænser mellem statslige aktører, organiseret cyberkriminalitet og hacktivistgrupper gør attribuering og forsvar mere komplekst.
Rapportens vigtigste konklusioner er:
– Over en tredjedel af ransomwareangrebene begyndte med stjålne legitimationsoplysninger, ofte opnået via phishing eller password spraying.
– Færre angreb i Norden nåede fuld kryptering i 2025, takket være forbedrede evner inden for detektion og hurtig respons.
– Trusselsaktører forventes at bruge virksomheders egne LLM’er til at mappe miljøet efter foothold, LLM’en kan blive den ultimative insider threat
– AI og LLM-systemer bliver selv mål, prompt injection vurderes som en central angrebsmetode mod AI løsninger med internetadgang
– Disruption mod Ransomware-aaS har presset økosystemet, men det har ikke knækket forretningsmodellen, nye brands overtager hurtigt
– Kompromittering går hurtigere, andelen der når fuld kompromittering på under ét døgn stiger fra 12 procent i 2022 til 29 procent i 2025
AI blinder de klassiske alarmer.
– De fleste modne virksomheder har efterhånden fået styr på klassisk synlighed, så reconnaissance i systemer, usædvanlige loginmønstre, password spraying og lateral bevægelse ofte giver støj i loggene og ender med at trigge alarmer. Problemet er, at mange nye AI projekter ikke er bygget med samme overvågning. Når en intern LLM får adgang til dokumenter, kundebeskeder, klager, feedback, wikis, mailudsnit, IT-dokumentation eller systemkataloger, kan en angriber lave rekognoscering som en almindelig bruger. Stille og roligt, via helt legitime forespørgsler som ‘hjælp mig med at finde’, ‘hvad er processen for’, ‘hvem ejer systemet’ og ‘hvor ligger backup’, uden at det nødvendigvis ser mistænkeligt ud i den traditionelle overvågning. Og fordi mange endnu ikke har moden logging, detection og misbrugskontroller på deres AI stack, kan det ske uden at nogen får en alarm, siger Morten von Seelen, Vice President hos Truesec.
Cybertruslen følger geopolitikken, ikke budgetåret:
– Geopolitik er ikke længere en kontekstsløjfe i en rapport. Det er en direkte driver for kapacitet, risikovillighed og målvalg. Når den regelbaserede orden svækkes, bliver cyberspace mere opportunistisk, mere samarbejdende på tværs af aktører og mere uforudsigeligt for forsvarere. Det handler mindre om branchetrends og mere om, hvem der har noget at vinde ved at skabe disruption og mistillid, fortsætter Morten von Seelen.
Ransomware ændrer form, ikke forretning.
– Politi og myndigheder kan lukke grupper og infrastruktur, men afpresningsmodellen er bygget til at overleve. Når noget bliver lukket, fragmenterer markedet, og nye brands fylder hullerne. Det giver os vinduer hvor vi kan presse dem tilbage, men det ændrer ikke den grundlæggende logik. Så længe adgang, data og drift kan omsættes til penge, vil ransomware industrien fortsætte, bare med nye navne og nye konstellationer, vurderer Morten von Seelen.
De bedste angreb ligner IT-drift.
Det mest modne angreb ligner ikke hacking, det ligner administration. Trusselsaktører bruger legitime remote management værktøjer, scripts og fjernkørsel, fordi det blender ind i hverdagens støj. Det er præcis derfor signaturer og klassiske use case baserede SIEM opsætninger bliver ved med at overse angreb. Man skal hurtigt kunne skelne normal administration fra misbrug af administration, ellers ser man angrebet for.
– Der er en vigtig nuance i årets observationer. Mængden af angreb stiger, men flere bliver stoppet før de ender i de værste scenarier. Vi ser færre tilfælde, hvor ransomware når hele vejen til kryptering og afpresning, og flere tilfælde, hvor aktøren bliver smidt ud før målet nås. Det er et konkret tegn på, at synlighed, detection og respons betaler sig, slutter Morten von Seelen.
Download den fulde Truesec Threat Intelligence Report 2026 på https://www.truesec.com/threat-intelligence-report-2026
