Campaniile de tip ransomware au explodat în ultimul an, cu o creștere alarmantă a atacurilor și o sofisticare tehnică sporită. Conform ultimelor date, doar în 2025 au fost raportate peste 6.900 de victime, un salt de peste 1.700 de cazuri față de anul precedent, echivalentul unei creșteri de aproximativ 40%. Sectoarele cele mai vizate au fost cele cu expunere ridicată și tolerate scăzută la întreruperi operaționale, cum ar fi construcțiile, sănătatea și tehnologia. Impactul financiar al acestor incidente este considerabil, un exemplu concludent fiind atacul asupra Jaguar Land Rover, care a cauzat întreruperi globale ale producției și pierderi estimate la 2,5 miliarde USD.
Dinamică și reconfigurări în lumea ransomware
Peisajul grupurilor de ransomware a suferit reconfigurări importante în 2025. Gruparea inițial dominantă, RansomHub, a fost neutralizată de un concurent, iar poziția sa a fost preluată de Qilin. Aceasta s-a consolidat ca principalul furnizor de ransomware-as-a-service (RaaS), urmată de Akira. În paralel, a fost identificat un actor nou, numit Warlock, care operează discret, dar cu o activitate intensă și capabilități tehnice avansate.
Warlock utilizează tehnici de compromitere care implică abuzul de instrumente legitime din ecosistemul IT, precum Velociraptor, combinat cu medii de dezvoltare pentru a facilita persistența și comunicarea comandă-control (C2) prin canale greu de detectat. Această abordare se încadrează în tendința generală de „living off the land”, reducând amprenta detectabilă și complicând analiza comportamentală.
Mecanisme avansate pentru a evita detecția
În 2025, s-a observat o creștere a utilizării instrumentelor de tip „EDR killer”, create pentru a dezactiva soluțiile de securitate endpoint, inclusiv mecanismele EDR și antivirus. Acestea exploatează adesea tehnica BYOVD (Bring Your Own Vulnerable Driver), prin care un driver vulnerabil este introdus în sistem pentru a obține execuție la nivel de kernel, permițând ulterior manipularea proceselor de securitate.
O metodă alternativă, mai puțin dependentă de escaladarea privilegiilor, este tehnica „EDR-Freeze”. Aceasta utilizează mecanisme legitime din Windows, precum Windows Error Reporting (WER), pentru a induce o stare de suspendare a agenților EDR, fără a necesita exploatarea unui driver vulnerabil. Această abordare reduce semnificativ suprafața de detecție și poate ocoli controalele tradiționale bazate pe semnături sau comportament.
Inteligența artificială, noua armă a atacatorilor
Adoptarea inteligenței artificiale în ecosistemul ransomware marchează o etapă de creștere a complexității atacurilor. Malware-ul PromptLock, identificat în 2025, este un exemplu de proof-of-concept care integrează un model de limbaj local (LLM) pentru generarea dinamică de scripturi malițioase și pentru analizarea conținutului sistemului compromis.
Această abordare permite adaptarea în timp real a comportamentului malware-ului, în funcție de contextul sistemului țintă, facilitând selecția datelor pentru exfiltrare, dar și decizia de criptare. Deși PromptLock nu a fost observat în campanii active, conceptul demonstrează fezabilitatea utilizării AI pentru automatizarea și optimizarea atacurilor.
Pentru a ajuta la contracararea acestor amenințări, experții oferă ghiduri și soluții concrete de securitate cibernetică. Pentru a reduce riscul operațional asociat acestor amenințări, este necesară implementarea unor controale de securitate stratificate.
