GÉANT: Universiteter presset af ransomware, identitetsangreb og AI‑drevet social engineering

Eskil Sørensen
05.05.2026 10:02
Angrebene bliver flere, hurtigere og mere disruptive – og rammer især gennem ransomware, misbrug af identiteter og angreb på fælles digitale forsyningskæder.

Den europæiske forsknings- og uddannelsessektor står midt i et markant skærpet trusselsbillede. Det fremgår af GÉANT Quarterly Cyber Threat Report, Q1 2026, som beskriver cybertrusler mod universiteter, forskningsinstitutioner og tilknyttede organisationer i perioden januar–marts 2026.

Rapporten dokumenterer en sektor, der i stigende grad er attraktiv for både cyberkriminelle og statsligt støttede aktører. Fælles for angrebene er, at de i høj grad fokuserer på driftsforstyrrelse, datatyveri og udnyttelse af tillidsrelationer – frem for klassisk udnyttelse af enkeltstående tekniske sårbarheder.

Ransomware rammer universitetsdriften

Ransomware fortsætter med at være en af de mest alvorlige trusler mod universiteter og forskningsorganisationer. I løbet af første kvartal 2026 blev flere europæiske institutioner ramt af angreb, der førte til total eller delvis nedlukning af IT-systemer.

Blandt de mest alvorlige hændelser var ransomwareangrebet mod Sapienza University of Rome, hvor mere end 125.000 studerende blev berørt, og centrale systemer blev taget offline for at forhindre yderligere spredning. Også University of Warsaw og flere erhvervs- og ungdomsuddannelser i Europa oplevede betydelige driftsforstyrrelser som følge af ransomware.

GÉANT fremhæver særligt ransomwaregrupperne Qilin, The Gentlemen og Beast, som markant prioriterer uddannelses- og forskningssektoren. For nogle af disse grupper udgør universiteter og skoler op mod en femtedel af deres kendte ofre, hvilket understreger sektorens udsathed.

Identitetsbaserede angreb tager føringen

Et centralt fund i rapporten er det tydelige skifte mod identitetscentrerede angreb. Angribere går i stigende grad uden om tekniske sårbarheder og retter i stedet fokus mod brugere, login-flows og administrative processer.

I Q1 2026 har GÉANT observeret udbredt brug af:

  • Vishing (telefonbaseret phishing), hvor angribere udgiver sig for IT-support
  • Device-code phishing, der udnytter legitime Microsoft Entra-loginflows
  • Misbrug af OAuth-redirects til at omdirigere brugere fra troværdige login-sider til ondsindet indhold

Flere angreb viste, at multifaktorgodkendelse (MFA) ikke i sig selv er tilstrækkeligt, hvis identitets- og helpdesk-processer kan manipuleres. Universiteternes åbne miljøer, mange brugere og komplekse samarbejdsflader gør dem særligt sårbare over for denne type angreb.

AI forstærker phishing og automatiserer angreb

Rapporten peger samtidig på, at AI nu aktivt forstærker angrebsteknikkerne. Trusselsaktører anvender generativ AI og agent-baserede værktøjer til at skalere phishingkampagner, skrive mere overbevisende beskeder og automatisere reconnaissance og udnyttelse.

Eksempler i Q1 2026 omfatter:

  • Misbrug af AI-assistenter og plugins til datatyveri
  • AI-drevne værktøjer, der kombinerer scanning, phishing og post-exploitation
  • Nye malwarefamilier, der integrerer APIs fra AI-platforme

GÉANT vurderer, at denne udvikling sænker entry-barrieren for avancerede angreb og øger tempoet fra første kontakt til fuld kompromittering – i enkelte tilfælde til få minutter.

Angreb via leverandør- og open source-kæder

En anden væsentlig trussel er kompromittering af fælles digitale forsyningskæder. I kvartalet blev en lang række ondsindede pakker identificeret i open source-økosystemer som npm og Packagist, hvor udviklere – herunder universitetsansatte og studerende – uforvarende installerede malware.

Derudover fremhæver rapporten, at angreb mod eksterne partnere og leverandører kan få direkte konsekvenser for forsknings- og undervisningsmiljøer. Særligt hændelsen mod den medicotekniske leverandør Stryker, hvor legitime administrationsværktøjer blev misbrugt til massive remote-wipes, illustrerer risikoen for kaskadeeffekter ind i forsknings- og sundhedssamarbejder.

Statssponsorerede aktører og geopolitisk spænding

GÉANT identificerer også fortsat aktivitet fra statsligt tilknyttede grupper som Charming Kitten, Gamaredon og Wagemole, der målretter akademiske miljøer for spionage, indsamling af forskning og strategisk viden.

Disse aktører udnytter ofte akademisk åbenhed, internationale samarbejder og konferencer som indgangsvinkel, og benytter sofistikeret social engineering frem for støjende tekniske exploits.
Trusselsrapportens samlede konklusion er klar: Presset mod universiteter og forskningsinstitutioner er strukturelt og langvarigt. Selvom politiaktioner mod botnets og phishing-platforme kan give midlertidig lettelse, genskaber trusselsaktørerne hurtigt deres kapaciteter.

GÉANT anbefaler derfor, at institutioner prioriterer:

  • Phishing-resistent MFA
  • Styrket identitets- og adgangsstyring
  • Zero trust-arkitektur og netværkssegmentering
  • Klar governance for brug af AI og tredjepartsværktøjer

Rapporten understreger, at cybersikkerhed i forsknings- og uddannelsessektoren ikke længere kun handler om beskyttelse af data – men om robusthed, kontinuitet

 

Trusselsvurdering