Atacurile de tip ransomware au explodat în ultimul an, atât ca număr, cât și ca sofisticare, punând în dificultate companii și instituții din întreaga lume. Conform ultimului raport ESET, în 2025 au fost raportate peste 6.900 de victime, cu o creștere de 40% față de anul precedent. Sectorul construcțiilor, sănătății și tehnologiei au fost principalele ținte.
Noul peisaj al amenințărilor cibernetice
Grupările de ransomware s-au reorganizat semnificativ în 2025. Gruparea RansomHub, care dominase anterior, a fost neutralizată, iar poziția sa a fost preluată de Qilin, care a devenit principalul furnizor de ransomware-as-a-service (RaaS). Akira se numără și el printre actorii importanți.
Un nou actor, Warlock, a apărut, operând discret, dar cu activitate intensă și tehnici avansate. Warlock folosește instrumente legitime, cum ar fi Velociraptor și medii de dezvoltare, pentru a se camufla și a facilita comunicarea cu serverele de comandă și control (C2). Această abordare, cunoscută sub numele de „living off the land”, reduce posibilitatea de detectare și complică analiza.
Noi metode de evaziune și impactul inteligenței artificiale
O creștere a utilizării instrumentelor „EDR killer” a fost observată în 2025. Acestea dezactivează soluțiile de securitate endpoint, exploatând adesea tehnica BYOVD (Bring Your Own Vulnerable Driver). Prin aceasta, se introduce un driver vulnerabil pentru a obține control la nivel de kernel.
O altă metodă, „EDR-Freeze”, utilizează mecanisme legitime din Windows pentru a suspenda agenții EDR, fără a fi nevoie de exploatarea unui driver vulnerabil. Aceasta reduce suprafața de detecție și poate eluda controalele tradiționale. Se așteaptă o consolidare a acestor tehnici în 2026, ceea ce impune măsuri preventive.
Adoptarea inteligenței artificiale în ransomware a marcat o nouă etapă. Malware-ul PromptLock, identificat în 2025, ilustrează integrarea unui model de limbaj local (LLM) pentru generarea dinamică de scripturi malițioase și pentru analizarea conținutului sistemului. Aceasta permite adaptarea în timp real a comportamentului malware-ului, facilitând selecția datelor și decizia de criptare. Modele similare au fost raportate și în alte familii malware experimentale, precum PromptFlux și PromptSteal. Tehnicile de inginerie socială sunt, de asemenea, adaptate pentru a exploata sistemele AI.
Pentru reducerea riscurilor, este crucială implementarea unor controale de securitate stratificate. Acestea includ aplicarea rapidă a patch-urilor, autentificarea multifactorială (MFA/2FA), configurarea detecției pentru aplicații potențial nedorite și efectuarea de backup regulat al datelor.
ESET continuă să ofere soluții de securitate avansate și un ghid gratuit pentru a ajuta companiile să se protejeze.
