Campaniile de tip ransomware au explodat în ultimul an, cu o creștere semnificativă a numărului de victime și a sofisticării atacurilor cibernetice. Potrivit ultimelor date publicate, peste 6.900 de organizații au fost afectate în 2025, o creștere de 40% față de anul anterior. Sectoarele vizate includ construcțiile, sănătatea și tehnologia, cu consecințe financiare majore, așa cum demonstrează atacul asupra Jaguar Land Rover, care a generat pierderi de 2,5 miliarde USD.nn
Evoluția actorilor de amenințare și noile strategii
Peisajul amenințărilor din domeniul ransomware-ului a suferit mutații importante în 2025. Grupul RansomHub, dominant anterior, a fost neutralizat de un actor rival, Qilin, care a preluat conducerea ca principal furnizor de ransomware-as-a-service (RaaS). Akira se numără, de asemenea, printre amenințările majore. În același timp, a apărut un nou actor, Warlock, care operează discret, dar cu capabilități tehnice avansate.nn
Warlock utilizează tehnici „living off the land”, exploatând instrumente legitime IT, cum ar fi Velociraptor și medii de dezvoltare precum VS Code, pentru a asigura persistența și comunicația „comandă-control” (C2). Se observă o creștere a utilizării instrumentelor „EDR killer” care dezactivează soluțiile de securitate endpoint. Se exploatează frecvent tehnica BYOVD (Bring Your Own Vulnerable Driver), introducând un driver vulnerabil pentru a obține control la nivel de kernel. O alternativă este tehnica „EDR-Freeze”, ce folosește mecanisme Windows legitime, cum ar fi Windows Error Reporting (WER), pentru a suspenda agenții EDR.nn
Inteligența Artificială în serviciul atacurilor
Anul 2025 a marcat o etapă importantă în utilizarea inteligenței artificiale (AI) în ransomware. Exemplul PromptLock, un model LLM (Local Language Model), generează scripturi malițioase și analizează conținutul sistemelor compromise. Aceasta permite adaptarea în timp real a comportamentului malware-ului, facilitând selecția datelor pentru exfiltrare și decizia de criptare.nn
Modele similare, precum PromptFlux și PromptSteal, folosesc LLM pentru generarea de cod și adaptarea dinamică a comportamentului. Amenințări precum QuietVault folosesc AI pentru automatizarea descoperirii și exfiltrării de date confidențiale. Tehnicile de inginerie socială sunt, de asemenea, adaptate pentru a exploata sistemele AI, atacatorii formulând prompturi pentru a eluda mecanismele de filtrare și a obține cod malițios.nn
Pentru a reduce riscul, se recomandă aplicarea urgentă a patch-urilor de securitate, implementarea autentificării multifactor (MFA/2FA) și configurarea detectării pentru aplicații nedorite (PUA). Realizarea de backup-uri regulate și educarea angajaților sunt, de asemenea, măsuri esențiale.
