Cybersäkerhet
Ransom Approved: 5 publika företag som betalade av cyberangripare
Ett ökande antal organisationer upplever en ransomware-attack. Enligt Sophos, 59% av organisationerna upplevde en sådan år 2024 och majoriteten av dem (70%) resulterade i datakryptering.
Inte bara antalet ransomware-attacker, utan även betalningsbeloppen har ökat. Medianbetalningen för ransomware var under $200 k år 2023, vilket ökade med 650 % till $1.5 million på ungefär ett år, enligt IBM-data.
Det förväntas att dessa attacker kostar $275 billion i globala skador årligen år 2031. Så, vad är ransomware-attacker?
Ransomware är en typ av skadlig kod, avsedd att blockera en organisations åtkomst till dess system eller kryptera dess data.
För att göra detta infekterar angriparna ett system med ett virus, som de använder för att skicka phishing‑mejl som kan innehålla en skadlig länk eller stjäla en anställds inloggningsuppgifter för att få obehörig åtkomst till företagets nätverk.
I utbyte mot dekrypteringsnycklar eller återställning av åtkomst till systemet kräver cyberkriminella lösensumma från offren. Organisationer hamnar i en svår situation där betalning av lösensumman verkar vara det enklaste och mest kostnadseffektiva sättet att återfå åtkomsten.
Vissa ransomware-varianter har lagt till funktioner som datastöld, vilket ger ytterligare incitament att betala lösensumman. Men i vissa högprofilerade fall kan betalning av lösensumman faktiskt vara det minst skadliga alternativet, trots riskerna.
Företag som betalade lösensumma för att skydda sina kunder

Att gå med på angriparnas krav och betala lösensumma är inte det ideala sättet att hantera cyberbrott, eftersom det inte bara inte garanterar säker återlämning av stulen data eller återställning av verksamhetens drift, utan också uppmuntrar ytterligare cyberattacker; ibland finns det inget annat val än att skydda verksamheten och kunderna.
Med det sagt, låt oss nu titta på några av de mest högprofilerade cyberbrottsfallen där företagen betalade lösensumman och vad som hände därefter.
1. CNA Financial Corp (CNA )
Ett av de största försäkringsbolagen i USA, CNA Finance Corp., blev offer för en ransomware-attack i mars 2021. De betalade en lösensumma på $40 million i Bitcoin (BTC), den största offentligt avslöjade ransomware-utbetalningen någonsin, för att återfå kontrollen efter att ha varit utelåsta från sina system i två veckor.
Attacken kom från en cyberkriminell grupp kallad Phoenix, som initialt krävde en lösensumma på 999 BTC (ungefär $55 million vid den tiden) innan de höjde den till 1099 BTC, och sade:
“Slösar tid. Kostnaden gick upp.”
Angriparna påstod att den data de hade var viktig och att “Det kommer att slå hårt om den läcker.” Lösensumman krävdes i utbyte mot att inte offentligt avslöja stölden, återlämna data, radera kopior av den stulna datan och återställa allt.
Men hur exakt inträffade intrånget? Jo, det berodde på ett litet säkerhetsglapp som ledde till en så stor incident. Angriparna lyckades faktiskt övertyga en enda CNA‑anställd att acceptera en falsk webbläsaruppdatering. De rörde sig sedan snabbt för att inaktivera systemet, och attacken kunde inte upptäckas omedelbart.
Det tog faktiskt CNA ett par veckor att upptäcka att de hade blivit hackade. Under den tiden stal angriparna kunddata och låste CNA ute från deras nätverk.
Företaget gav inte någon uppdatering förrän en vecka efter att attacken inträffat. De publicerade sedan en uppdatering som förklarade att attacken hade begränsats och att de arbetade med att återuppta normal affärsverksamhet. Två veckor senare avslöjades att verktyg för endpoint‑detektering och övervakning hade implementerats som en del av återställningsprocessen.
Två månader efter attacken släppte CNA sin incidentrapport, där de noterade att det inte var en riktad attack. Och när ransomware upptäcktes kopplade företaget bort sina system från nätverket för att stoppa hotet från att spridas.
Ett par månader senare meddelade försäkringsbolaget att deras undersökning hade avslutats, vilket avslöjade att hotaktören kopierade information innan ransomware distribuerades, men att de återfick informationen snabbt och har “ingen anledning att misstänka att informationen har eller kommer att missbrukas.”
Det Chicago-baserade försäkringsholdingbolaget konsulterade även myndigheter, inklusive FBI och Office of Foreign Assets Control (OFAC), angående attacken. I ett uttalande sade de: “CNA följde alla lagar, regler och publicerade riktlinjer, inklusive OFAC:s ransomware‑riktlinjer från 2020, i hanteringen av detta ärende,” men kommenterade inte lösensumman.
Enligt dessa riktlinjer kan myndigheten påföra civila påföljder på amerikanska personer som gör betalningar till förbjudna enheter.
Företagets undersökning avslöjade att en hotgrupp kallad Phoenix använde Phoenix Cryptolocker ransomware för att attackera deras nätverk. Vid den tidpunkten var gruppen inte föremål för amerikanska sanktioner.
(CNA )
CNA är ett företag med ett börsvärde på $13 billion, vars aktier, vid skrivande stund, handlas till $48.16, ner 0.43% år‑till‑datum (YTD) men upp 32.27% de senaste två åren. Med detta har deras vinst per aktie (EPS) för de senaste tolv månaderna (TTM) på 3.28, P/E (TTM) på 14.67 och ROE (TTM) på 8.98%. CNA‑aktieägare njuter också av en anständig utdelningsavkastning på 3.82%.
Dess senaste kvartalsresultat visar en nettovinst på $274 million och en kärnintäkt på $281 million.
2. Caesars Entertainment (CZR )
Casino‑underhållningsföretaget betalade $15 million i lösensumma till en cyberkriminell grupp kallad Scattered Spider, samma hotaktör som tog ner MGM:s datasystem bara dagar efter att ha mottagit lösensumman från Caesars Entertainment. Angriparna krävde också en lösensumma från MGM, men de betalade inte.
I Caesars fall, enligt en inlämning till den amerikanska Securities and Exchange Commission (SEC), krävde angriparna en lösensumma på $30 million, men företaget gick med på att betala endast hälften av detta, vilket delvis täcktes av företagets cyberförsäkringspolicyer. Företaget förväntade sig inte att betalningen eller efterdyningarna skulle ha en materiell effekt på deras resultat.
Attacken inträffade i mitten av augusti 2023 och utfördes av Scattered Spider, även känd som UNC3944 eller Roasted 0ktapus. Gruppen, bestående av unga hackare baserade i USA och Storbritannien som är skickliga på social ingenjörskonst, har kopplats till attacker mot andra företag, inklusive Cloudflare, Twilio och Okta.
För att rikta in sig på Caesars bröt hackarna först in i en extern IT‑leverantör. För detta låtsades angriparna vara en Caesars‑anställd och övertygade leverantören att tillhandahålla inloggningsuppgifter till Okta, Caesars åtkomsthanteringsleverantör.
Det gav cyberkriminellerna obehörig åtkomst till hotell‑ och casinogiganten nätverk. De stal sedan data från Caesars lojalitetsmedlemmar, vilket inkluderade körkort och personnummer, innan de distribuerade BlackCat/ALPHV ransomware. Det fanns inga bevis för att angriparna nådde PIN‑koder, lösenord, bankkonton eller betalningskortsinformation, enligt företaget.
Reuters rapporterade samtidigt att hackningsgruppen Scattered Spider sade att de tog sex terabyte data från Caesars och MGM:s system.
“Vi har vidtagit åtgärder för att säkerställa att den stulna datan raderas av den obehöriga aktören, även om vi inte kan garantera detta resultat.”
– Caesars sade i inlämningen
Även om företaget inte avslöjade hur många kunder som påverkades, listade inlämningen strax under 42 000 drabbade personer. Vid den tidpunkten rapporterade Bloomberg att Caesars betalade lösensumman efter att hotgruppen hackat dem och hotat att släppa företagets data.
I slutet av september hade företaget återställt normal drift. Efteråt stod Caesars inför finansiell och reputationsskada samt flera grupptalan som anklagade företaget för vårdslöshet och orättvis berikning för att ha misslyckats med att säkra sina gästers personuppgifter.
(CZR )
Med ett börsvärde på strax över $6 billion handlas CZR‑aktier för närvarande till $29.41, ner 12% hittills i år. Dess aktiekurs ligger också långt under 2021‑toppen på omkring $119. Dess EPS (TTM) är -1.10 och P/E (TTM) är -26.80.
När det gäller företagets finanser uppgick GAAP nettointäkter för Q1 2025 till $2.8 billion och justerat EBITDA ökade med 4% YoY till $43 million “drivet av betydande vinster” i dess Digital‑segment.
3. Blackbaud Inc. (BLKB )
År 2020 infiltrerade cyberkriminella Blackbauds servrar, ett företag som tillhandahåller programvara för ideella organisationer och utbildningsinstitutioner, och komprometterade data från mer än 13 000 organisationer. Det sydkarolinska företaget betalade en lösensumma på $235,000 i BTC till hackarna med löfte om att radera personlig kunddata.
Cyberattacken inträffade i februari samma år, men upptäcktes inte förrän några månader senare i maj. Vid den tidpunkten hanterade de drabbade organisationerna redan störningar orsakade av COVID‑19‑pandemin.
Cyberkriminellerna riktade in sig på Blackbauds servrar för att få åtkomst till företagets system. Eftersom Blackbaud inte var medvetet om intrånget kunde angriparna operera oupptäckta i månader, under vilka de krypterade datasätt och exfiltrerade en del av dem.
När leverantören av kundrelationshantering (CRM) slutligen upptäckte att de hade blivit utsatta, vilket hände medan Blackbaud genomförde rutinmässiga säkerhetskontroller, implementerade de åtgärder för att förhindra ytterligare skada.
I juli gjorde företaget en offentlig redogörelse om att de drabbats av en ransomware‑attack. Blackbaud meddelade att utbildnings- och tredje sektorsorganisationer kan ha fått sin data komprometterad, vilket naturligtvis skapade chockvågor i de drabbade samhällena och väckte oro för säkerheten kring känslig givarinformation.
Företaget hindrade brottslingarna från att helt kryptera filer och blockera systemåtkomst, men de hade redan tagit bort en backup‑fil som innehöll personlig information.
Blackbaud försäkrade att bankkonton eller betalningskortsinformation inte påverkades, men att mycket information, såsom namn, adresser, kontaktuppgifter, personnummer och uppskattad förmögenhet, bland annat, faktiskt var involverad i dataintrånget.
Företaget medgav också att de betalade en lösensumma för att återfå data och skydda sina kunders intressen.
Efter attacken inledde Federal Trade Commission (FTC) en undersökning och ansåg att den orsakades av “Blackbauds slarviga säkerhets- och datalagringspraxis.”
Enligt FTC‑klagomålet misslyckades företaget med att implementera de mest grundläggande säkerhetsåtgärderna, följde inte Blackbauds egna policyer för datalagring och tillät kunder att lagra kritisk data som bankkonton i okrypterade fält. Myndigheten hävdade också att Blackbaud avsevärt felaktigt framställde omfattningen och allvaret av incidenten.
FTC och Blackbaud nått en förlikning, som inte innebar någon ekonomisk påföljd utan krävde att företaget raderade den data de inte längre behöver, utvecklade ett omfattande informationssäkerhetsprogram och meddelade FTC om ett framtida dataintrång.
Blackbauds förlikning med SEC innebar dock en straffavgift på $3 million för att ha gett vilseledande information om intrånget. Företaget slöt också en förlikning på $49.5 million med 50 delstatliga justitieministrar angående HIPAA‑överträdelser.
(BLKB )
När det gäller Blackbauds marknadsresultat handlas deras aktier för närvarande till $63.76, ner 13.74% YTD, vilket ger ett börsvärde på $3 billion. Med detta är deras EPS (TTM) -5.83 och P/E (TTM) -10.94.
Under Q1 2025 uppnådde företaget en organisk intäktstillväxt på 5.8 %, med en omsättning på $271 million. Blackbaud investerar också aktivt i innovation, särskilt inom AI, för att öka sin interna produktivitet och kundoperationer.
4. UnitedHealth Group (UNH )
Hälsovårdsjätten UnitedHealth Group Incorporated har haft en tuff period de senaste ett och ett halvt året. Allt började i februari 2024 när deras dotterbolag Change Healthcare drabbades av en cyberattack.
UnitedHealth Group verkar genom två segment: UnitedHealthcare, som fokuserar på sjukförsäkring, och Optum, som tillhandahåller teknologitjänster, direkta vårdtjänster och apoteksservice genom Optum Insight, Optum Health och Optum Rx.
År 2022 förvärvade UnitedHealth Group Change Healthcare‑plattformen och integrerade den i Optum Insight. Företaget behandlar upp till 15 billion medicinska anspråk per år, vilket motsvarar cirka 40 % av alla anspråk, så du kan föreställa dig den störning en attack på Change Healthcare kan orsaka.
I februari infekterades Change Healthcare:s system med ransomware, vilket gjorde dem otillgängliga och orsakade kaos i det amerikanska sjukvårdssystemet. Det dröjde flera månader, tills i november, innan företaget kunde återuppta full drift.
När det gäller vad som hände, berättade dåvarande VD Andrew Witty för Kongressen att attacken först började den 12 februari. Angriparna använde komprometterade inloggningsuppgifter för att få åtkomst till Change Healthcare:s Citrix‑portal, som användes för fjärrskrivbord och saknade tvåfaktorsautentisering. Ett litet misstag som skulle kosta UNH miljarder.
Därifrån började angriparna samla in data och några dagar senare distribuerade de ransomware, vilket initierade krypteringen av företagets system. Som svar kopplade UnitedHealth bort Change Healthcare:s datacenter från nätverket för att förhindra att ransomware‑attacken spreds till deras andra system och externa enheter.
Angående angriparna tog den kriminella gruppen BlackCat/ALPHV ansvar och påstod att de exfiltrerade 6 TB konfidentiell data. Den stulna datan inkluderade medicinska journaler, personlig information och finansiella dokument. UnitedHealth Group har offentligt bekräftat att cirka 190 million individer påverkades av detta intrång.
I mars 2024 betalade företaget en lösensumma på $22 million, men BlackCat‑ransomware‑gruppen rapporteras ha inte betalat den affiliate som utförde attacken, som sedan samarbetade med en annan ransomware‑grupp, RansomHub, som försökte utpressa mer pengar från UnitedHealth. Det är ännu oklart om UnitedHealth också betalade en andra gång.
Incidenten, enligt UnitedHealth Group i januari 2025, resulterade i en total årlig förlust på $3.09 billion.
Medan företaget fortsätter att hantera efterdyningarna av den största cyberattacken i sjukvårdens historia, påverkade inte aktierna det så mycket eftersom UNH‑aktien nådde ett rekordhögt pris på $625 per aktie i november 2024 och ett börsvärde på $575 billion.
(UNH )
Men nu, sex månader senare, är allt på väg ner. UnitedHealths aktiekurs, med ett börsvärde på $292 billion, har fallit 36.43% YTD. Den handlas för närvarande till $321.58, en nedgång på 49% från sitt historiska högsta värde.
Förutom en större än förväntad påverkan från cyberattacken har företaget hanterat ledarskapsförluster, med UnitedHealthcare‑VD Brian Thompson som omkom på investerardag i New York City, företaget missade vinster, och Justitiedepartementet driver en brottsutredning av UHG:s Medicare Advantage‑verksamhet.
För att nu titta på företagets lönsamhet och effektivitet har det ett EPS (TTM) på 23.89, ett P/E (TTM) på 13.46 och ett ROE (TTM) på 24.33 %, medan utdelningsavkastningen är 2.61 %. För Q1 2025 växte intäkterna till $109.6 billion, och kassaflödet från verksamheten var $5.5 billion.
5. AT&T (T )
Den ledande globala leverantören av telekommunikations- och tekniktjänster drabbades av två stora dataintrång år 2024.
Den första inträffade i mars och påverkade mellan 50 och 70 million av företagets nuvarande och tidigare kunder. Rapporter om företagets data som cirkulerade på dark web kom först i mitten av mars och sedan tog AT&T ett par veckor på sig att bekräfta att informationen faktiskt tillhörde deras kunder.
Bland den komprometterade informationen fanns kundernas fullständiga namn, födelsedatum, e‑post, telefonnummer, postadress, personnummer samt AT&T‑kontonummer och lösenord. Företaget sade till de drabbade individerna:
“Enligt vår kunskap inkluderade inte den personliga finansiella informationen och samtalshistoriken.”
Det antas att datan har cirkulerat online i några år nu, men dess ursprung är okänt, och AT&T förnekar att den kom från deras egna system.
Sedan, i april, föll de offer för ett intrång som komprometterade nästan alla deras fast telefoni-, mobil- och trådlösa nätverkskunder. Några månader senare, i juli, offentliggjorde AT&T intrånget.
Detta intrång kopplades till en amerikansk hacker, en medlem av ShinyHunters‑gruppen, som krävde en lösensumma på $1 million men gick med på betydligt mindre. Företaget betalade en lösensumma på $370,000 i Bitcoin i maj för att förhindra att datan läckte. Angriparen tillhandahöll företaget en video som visade bevis på att datan raderades.
I denna attack exfiltreras kundernas samtals- och sms‑interaktioner den 2 januari 2023 samt mellan 1 maj 2022 och 31 oktober 2022. Denna gång kom datan från företagets ‘workspace’ på en tredjeparts‑molnplattform.
Även om själva innehållet inte påverkades, kan de komprometterade posterna identifiera andra telefonnummer som de drabbade kunderna interagerade med, förklarade företaget. AT&T meddelade cirka 110 million kunder om incidenten.
Vid skrivande stund handlas det $200 billion stora företagets aktier till $27.78, upp 22% YTD. Dess EPS (TTM) är 1.63, P/E (TTM) är 17.04 och ROE (TTM) är 11.28. Utdelningsavkastningen är en attraktiv 4%.
(T )
Finansiellt var dess intäkt under Q1 2025 $30.6 billion, nettovinst $4.7 billion och fritt kassaflöde $3.1 billion.
Så, som vi har sett, drabbar ransomware‑attacker företag över alla sektorer. Och medan betalning av lösensumman kan hjälpa till att skydda företaget och dess kunder, är det inte alltid fallet. Det uppmuntrar faktiskt kriminellt beteende och medför både finansiella och reputationsmässiga skador.
Vad företag behöver göra är att vidta proaktiva säkerhetsåtgärder för att förhindra intrång från första början. Detta inkluderar regelbundna säkerhetsbedömningar, kontinuerlig övervakning av potentiella hot, hålla systemen uppdaterade, ha backup av data och skydda dessa filer, införa robust datakryptering, erbjuda lämplig utbildning för anställda och upprätthålla en effektiv beredskap för incidentrespons.
I slutändan är det verkliga försvaret mot ransomware inte förhandling utan förberedelse, så investera i cybersäkerhetsresiliens redan idag!
Klicka här för en lista över de bästa cybersäkerhetsaktierna.












