För första gången på fyra år är det inte en sårbarhet i mjukvara som är den vanligaste vägen in för ransomware. Skadlig e-post och phishing har tagit förstaplatsen, enligt rapporten State of Ransomware 2026 som Sophos publicerade den 15 juli. Tillsammans står de två e-postbaserade vektorerna för hälften av alla incidenter i undersökningen, medan utnyttjade sårbarheter föll till 18 %, ner från 32 % året innan.
Siffrorna kommer från en undersökning av 2 158 IT- och säkerhetsansvariga i 17 länder, samtliga vid organisationer som drabbats av ransomware det senaste året. Skadlig e-post var grundorsaken i 26 % av fallen och phishing i 24 %. Stulna inloggningsuppgifter låg kvar på tredje plats med 23 %. Brute force-angrepp var oförändrat på 6 %.
97 procent hade MFA och angreps ändå
Detaljen som sticker ut finns inne i siffran för stulna inloggningsuppgifter. Där stulna uppgifter var vägen in hade 97 % av offren redan någon form av multifaktorautentisering (MFA) på plats när de angreps. MFA fanns där, och det stoppade inte angreppet.
Två tredjedelar av offren, 67 %, uppgav att ransomware-incidenten var samma händelse som det allvarligaste identitetsangrepp de mötte under hela året. Sophos anger att 79 % av angreppen började med ett identitetsbaserat tillvägagångssätt. Det är identiteten, inte den opatchade servern, som numera är ytterdörren.
Läs MFA-siffran noga
Det vore lätt att läsa ”97 % hade MFA och angreps ändå” som bevis för att MFA är ett spel för galleriet. Datan säger något snävare. Sophos egen incidenthanteringsenhet, som rapporterar separat i 2026 Active Adversary Report utifrån 661 verkliga fall som analytikerna åtgärdat, fann att MFA saknades just där det spelade roll i 59 % av dem: SaaS-konton var oftast skyddade, men VPN, administratörskonsoler för brandväggar och äldre applikationer var det ofta inte. Det var luckan, inte skyddet, som angriparna tog sig igenom.
Det finns en andra lucka som rapporten är tystare om. De vanligaste andrafaktorerna offren hade på plats var engångslösenord och push-notiser, som båda kan besegras i realtid av ett kompetent phishing-kit. FIDO2-tokens i hårdvara, den enda metod som är byggd för att stå emot phishing, hamnade först på fjärde plats. Sophos avstod från att peka ut en föredragen typ av MFA. Siffrorna för fram det argument Sophos själv avstod från: MFA som är sårbar för phishing och utrullad ojämnt är inte samma skydd som phishing-resistent MFA som finns överallt.
Värt att hålla i minnet är att detta är en leverantörsundersökning, och Sophos säljer identity threat detection, e-postfiltrering, utbildning i säkerhetsmedvetenhet och zero-trust-access. Varje rekommendation i rapporten motsvarar alltså en produkt bolaget erbjuder. Det som hindrar rapporten från att bli ren marknadsföring är att undersökningen och incidentdatan, insamlade med olika metoder, pekar åt samma håll. När självrapporterade offersiffror och forensiska fallstudier är överens är trenden verklig oavsett vem som säljer.
Var angreppen faktiskt landar
För första gången kartlägger rapporten var den första komprometteringen sker. Exponerade applikationer och system stod för 38 %, användarenheter 30 %, brandväggar 21 %, VPN 8 % och IoT-enheter 3 %. Brandväggar väger tyngre än sin andel när det gäller kostnad: när ett angrepp börjar med att en sårbarhet i brandväggen utnyttjas är 59 % av lösensummorna på en miljon dollar eller mer, mot 48 % som baslinje för alla angrepp. En komprometterad brandvägg lämnar över hela nätverket, och kraven speglar det.
Vad som förändras på måndag
Börja med täckning, inte med nya verktyg. Granska varje autentiseringspunkt, inklusive VPN, brandväggskonsoler, gateways för fjärråtkomst och äldre applikationer, och bekräfta att MFA verkligen är påtvingad på var och en i stället för att förutsättas. Flytta privilegierad åtkomst och fjärråtkomst till FIDO2 eller passkeys. Eftersom e-post nu är den främsta vägen in hör DMARC, DKIM och SPF tillsammans med återkommande phishing-utbildning hemma högst upp i budgeten, inte längst ner.
Chet Wisniewski, global field CISO på Sophos, sa till Dark Reading att de organisationer som klarar sig bäst tillämpar det han kallar aggressiv defense-in-depth. “Every layer of defense, even if it can be bypassed, is a speed bump, an alert, or a potential clue to trigger a threat hunt,” sa han, och pekade på segmentering, zero-trust network access i stället för äldre VPN, och detektering och respons dygnet runt. Inget av det är nytt. Det mesta är fortfarande inte gjort.
Efterlevnadsklockan tickar redan
För svenska organisationer är detta inte bara operativa råd. Cybersäkerhetslagen, Sveriges införlivande av EU:s NIS2-direktiv, trädde i kraft den 15 januari 2026 och kräver att verksamheter inom lagens tillämpningsområde bedriver riskhanteringsåtgärder som uttryckligen omfattar MFA, åtkomststyrning och incidenthantering. Anmälan till MCF (tidigare MSB) öppnade i februari. Väsentliga verksamheter riskerar böter på upp till 10 miljoner euro eller 2 % av den globala omsättningen, viktiga verksamheter upp till 7 miljoner euro eller 1,4 %. En hotbild som drivs av phishing flyttar e-postfiltrering och personalutbildning från god praxis till underlag som en tillsynsmyndighet en dag kan komma att efterfråga.
De som förlorar den här kampen är de mindre organisationerna. Bara 34 % av företagen med 100 till 250 anställda stoppade ett angrepp innan datan krypterades, mot 46 % hos företag tio gånger så stora. Skalan köper försvarsresultat som mindre team inte kan matcha med enbart personalstyrka. För dem är det inte det avancerade alternativet att täppa till luckan i MFA-täckningen. Det är det billigaste som fortfarande finns kvar.
Källor
- Identity Attacks Overtake Exploits as Top Ransomware Cause
- The State of Ransomware 2026: Payments Drop as Encryption Climbs
- New Cybersecurity Act enters into force in Sweden
This post is also available in:
juli 17, 2026