În ultimul an, campaniile de tip ransomware au înregistrat o expansiune semnificativă, atât din punct de vedere al volumului, cât și al sofisticării tehnice. Conform datelor publicate în cel mai recent raport ESET, în 2025 au fost raportate peste 6.900 de victime, ceea ce reprezintă o creștere de peste 1.700 de cazuri față de anul precedent, echivalentul unei evoluții de aproximativ 40%. Vectorii de atac s-au concentrat preponderent asupra sectoarelor cu expunere ridicată și toleranță scăzută la întreruperi operaționale, precum construcțiile, sănătatea și tehnologia. Impactul financiar al acestor incidente este considerabil, un exemplu relevant fiind atacul asupra Jaguar Land Rover, care a generat întreruperi globale ale producției și pierderi estimate la 2,5 miliarde USD.
Dinamica actorilor de amenințare și evoluția atacurilor
Peisajul grupărilor ransomware a suferit reconfigurări notabile în 2025. Gruparea dominantă anterior, RansomHub, a fost neutralizată de un actor rival, iar poziția sa a fost preluată de Qilin, care s-a consolidat ca principal furnizor de ransomware-as-a-service (RaaS), urmat de Akira. În paralel, a fost identificat un actor emergent, denumit Warlock, care operează cu un profil redus de vizibilitate, dar prezintă o activitate intensă și capabilități tehnice avansate.
Warlock utilizează tehnici de compromitere care implică abuzul de instrumente legitime din ecosistemul IT, precum Velociraptor, în combinație cu medii de dezvoltare (ex. VS Code), pentru a facilita persistența și comunicarea comandă-control (C2) prin canale greu de detectat. Această abordare se înscrie în tendința generală de „living off the land”, reducând amprenta detectabilă și complicând analiza comportamentală.
Pentru a înțelege mai bine cum pot fi prevenite atacurile ransomware, ESET oferă gratuit spre descărcare un ghid actualizat, care include recomandări esențiale de securitate cibernetică.
Mecanisme avansate de evaziune și neutralizare a protecțiilor
În 2025 s-a observat o creștere a utilizării instrumentelor de tip „EDR killer”, proiectate pentru a dezactiva soluțiile de securitate endpoint, inclusiv mecanismele EDR și antivirus. Acestea exploatează în mod frecvent tehnica BYOVD (Bring Your Own Vulnerable Driver), prin care un driver vulnerabil este introdus în sistem pentru a obține execuție la nivel de kernel, permițând ulterior manipularea proceselor de securitate.
O metodă alternativă, mai puțin dependentă de escaladarea privilegiilor la nivel de kernel, este reprezentată de tehnica „EDR-Freeze”. Aceasta utilizează mecanisme legitime din Windows, precum Windows Error Reporting (WER), pentru a induce o stare de suspendare a agenților EDR, fără a necesita exploatarea unui driver vulnerabil. Această abordare reduce semnificativ suprafața de detecție și poate eluda controalele tradiționale bazate pe semnături sau comportament.
Tendința indică o consolidare a acestor tehnici în 2026, ceea ce impune implementarea unor controale preventive, inclusiv activarea detecției pentru aplicații potențial nedorite (PUA), cu scopul de a preveni instalarea driverelor exploatabile.
Integrarea inteligenței artificiale în ciclul de atac
Adoptarea inteligenței artificiale în ecosistemul ransomware marchează o etapă de escaladare a complexității atacurilor. Malware-ul PromptLock, identificat de ESET în 2025, reprezintă un exemplu de proof-of-concept care integrează un model de limbaj local (LLM) pentru generarea dinamică de scripturi malițioase și pentru analiza conținutului sistemului compromis.
Această abordare permite adaptarea în timp real a comportamentului malware-ului, în funcție de contextul sistemului țintă, facilitând atât selecția datelor pentru exfiltrare, cât și decizia de criptare. Deși PromptLock nu a fost observat în campanii active, conceptul demonstrează fezabilitatea utilizării AI pentru automatizarea și optimizarea atacurilor.
Modele similare au fost raportate și în alte familii malware experimentale, precum PromptFlux și PromptSteal, care utilizează modele LLM pentru generarea de cod și adaptarea comportamentului în mod dinamic. În paralel, amenințări precum QuietVault evidențiază utilizarea AI pentru automatizarea descoperirii și exfiltrării de secrete, prin integrarea cu instrumente locale și token-uri compromise.
De asemenea, tehnicile de inginerie socială sunt adaptate pentru a exploata sistemele AI, atacatorii formulând prompturi aparent legitime pentru a ocoli mecanismele de filtrare și a obține cod malițios.
Căutați să îmbunătățiți reziliența firmei dvs. în fața amenințărilor informatice? Experții ESET au publicat un ghid gratuit despre protecția împotriva ransomware. Acesta include soluții concrete pentru evitarea daunelor și alte sfaturi, dacă sistemele de apărare sunt compromise. Accesați gratuit raportul aici.
Măsuri de mitigare și bune practici
Pentru reducerea riscului operațional asociat acestor amenințări, este necesară implementarea unui set de controale de securitate stratificate:
- aplicarea promptă a patch-urilor de securitate și monitorizarea continuă a vulnerabilităților
- implementarea autentificării multifactor (MFA/2FA), în special pentru serviciile expuse extern (RDP, VPN).
- implementarea autentificării multifactor (MFA/2FA), în special pentru serviciile expuse extern
- Configurarea detecției pentru aplicațiile potențial nedorite (PUA) pentru blocarea eventualelor instrumente malițioase de tip “EDR killer”.
- Efectuarea de backup regulat al datelor și stocarea offline sau într-un mediu separat, imuabil.
- Educarea angajaților prin sesiuni de conștientizare privind atacurile de phishing, vishing și alte metode de inginerie socială.
ESET oferă soluții de securitate avansate, construite pentru a anticipa și preveni atacurile înainte ca acestea să producă daune. Funcționalitatea Ransomware Remediation este o tehnologie proprietară care ajută la restaurarea automată a fișierelor criptate în cazul în care ransomware-ul este detectat într-un stadiu ulterior al atacului, după ce procesul de criptare a început deja.
Pentru organizațiile care necesită un grad mai ridicat de protecție, soluțiile ESET MDR oferă un nivel suplimentar esențial de securitate, îmbinând monitorizarea permanentă 24/7 cu experiența analiștilor ESET. Prin valorificarea funcționalităților XDR, corelarea evenimentelor și intervenția activă la incidente, MDR facilitează depistarea și stoparea atacurilor sofisticate încă din stadii incipiente, inclusiv a celor care reușesc să ocolească metodele tradiționale de detecție.
Prin combinarea expertizei umane cu Inteligența Artificială, ESET oferă protecție continuă pentru companii și utilizatori, inclusiv prin soluții cloud și suport local. Indiferent de cerințele de apărare necesare – endpoint, cloud sau mobile – soluțiile cloud-first, bazate pe AI sunt atât eficiente, cât și ușor de utilizat. În completarea apărării în timp real, 24/7, ESET oferă și suport localizat eficient (inclusiv în România), angajându-se activ în cercetarea celor mai noi amenințări prin centrele proprii R&D, inclusiv cel din Iași, și printr-o rețea globală extinsă de parteneri.
Articol susținut de ESET