Atacurile de tip ransomware au explodat în ultimul an, atât ca volum, cât și ca sofisticare. Conform ultimelor date, în 2025 au fost raportate peste 6.900 de victime, o creștere de 40% față de anul precedent. Sectoarele cu expunere ridicată, precum construcțiile, sănătatea și tehnologia, au fost cele mai vizate. Impactul financiar este considerabil, un atac recent asupra Jaguar Land Rover generând pierderi de 2,5 miliarde USD și întreruperi la nivel global.
Reconfigurarea peisajului amenințărilor cibernetice
Peisajul grupărilor ransomware s-a schimbat semnificativ. Gruparea RansomHub a fost neutralizată, iar Qilin a preluat poziția de lider, devenind principalul furnizor de ransomware-as-a-service (RaaS), urmat de Akira. Un nou actor, Warlock, cu un profil redus, dar extrem de activ și cu capabilități tehnice avansate, a intrat în scenă.
Warlock folosește tehnici de compromitere ce implică abuzul de instrumente legitime din ecosistemul IT, cum ar fi Velociraptor și medii de dezvoltare, cum ar fi VS Code, pentru a asigura persistența și comunicarea comandă-control (C2). Această strategie, cunoscută sub numele de „living off the land”, reduce detectabilitatea și complică analiza comportamentală.
Evoluția tehnicilor de evaziune și impactul inteligenței artificiale
O creștere semnificativă s-a înregistrat în utilizarea instrumentelor de tip „EDR killer”, proiectate pentru a dezactiva soluțiile de securitate endpoint, inclusiv EDR și antivirus. Acestea exploatează adesea tehnica BYOVD (Bring Your Own Vulnerable Driver), introducând un driver vulnerabil pentru a obține execuție la nivel de kernel. O altă metodă folosește mecanisme legitime din Windows, precum Windows Error Reporting (WER), pentru a suspenda agenții EDR.
În domeniul inteligenței artificiale, exploatarea acesteia de către atacatori marchează o nouă etapă. Malware-ul PromptLock, un exemplu de concept, integrează un model de limbaj local (LLM) pentru generarea dinamică de scripturi malițioase și analiza conținutului sistemului. Această abordare permite adaptarea comportamentului malware-ului în funcție de sistemul țintă.
Modele similare, cum ar fi PromptFlux și PromptSteal, folosesc LLM pentru generarea de cod și adaptarea dinamică a comportamentului. Amenințări precum QuietVault folosesc AI pentru automatizarea descoperirii și exfiltrării de secrete, prin integrarea cu instrumente locale și token-uri compromise. Tehnicile de inginerie socială sunt, de asemenea, adaptate pentru a exploata sistemele AI.
Pentru a reduce riscul operațional, implementarea unui set de controale de securitate stratificate este crucială. Acestea includ aplicarea de patch-uri de securitate, autentificarea multifactor (MFA/2FA) pentru serviciile expuse extern, detecția pentru aplicații potențial nedorite (PUA), backup regulat al datelor și educarea angajaților.
Soluțiile de securitate cu funcționalitatea Ransomware Remediation pot ajuta la restaurarea automată a fișierelor criptate. Pentru o protecție sporită, soluțiile MDR oferă monitorizare continuă, corelare de evenimente și intervenție activă.
Soluțiile de securitate ESET sunt disponibile pentru descărcare și testare gratuită. Compania, cu sediul în București, are un centru R&D în Iași.
