Campaniile de tip ransomware au înregistrat o creștere alarmantă în ultimul an, atât din punct de vedere al volumului, cât și al sofisticării tehnice. Conform datelor unui raport recent, peste 6.900 de victime au fost raportate în 2025, o creștere de peste 1.700 de cazuri față de anul precedent, echivalentul unei evoluții de aproximativ 40%. Vectorii de atac s-au concentrat în principal pe sectoarele cu expunere ridicată și toleranță scăzută la întreruperi operaționale, precum construcțiile, sănătatea și tehnologia.

Evoluția grupărilor ransomware și metode de atac

Peisajul grupărilor ransomware a suferit modificări notabile în 2025. Gruparea dominantă anterior, RansomHub, a fost neutralizată, iar poziția sa a fost preluată de Qilin, care s-a consolidat ca principal furnizor de ransomware-as-a-service (RaaS). În același timp, a fost identificat un actor nou, denumit Warlock, care operează cu un profil redus de vizibilitate, dar prezintă o activitate intensă și capabilități tehnice avansate.

Warlock utilizează tehnici de compromitere care implică abuzul de instrumente legitime din ecosistemul IT, precum Velociraptor, în combinație cu medii de dezvoltare, pentru a facilita persistența și comunicarea comandă-control (C2) prin canale greu de detectat. Această abordare se înscrie în tendința generală de „living off the land”, reducând amprenta detectabilă și complicând analiza comportamentală.

În 2025 s-a observat, de asemenea, o creștere a utilizării instrumentelor de tip „EDR killer”, proiectate pentru a dezactiva soluțiile de securitate endpoint, inclusiv mecanismele EDR și antivirus. Acestea exploatează în mod frecvent tehnica BYOVD (Bring Your Own Vulnerable Driver), prin care un driver vulnerabil este introdus în sistem pentru a obține execuție la nivel de kernel, permițând ulterior manipularea proceselor de securitate. O metodă alternativă, mai puțin dependentă de escaladarea privilegiilor la nivel de kernel, este reprezentată de tehnica „EDR-Freeze”. Aceasta utilizează mecanisme legitime din Windows, precum Windows Error Reporting (WER), pentru a induce o stare de suspendare a agenților EDR, fără a necesita exploatarea unui driver vulnerabil.

Rolul inteligenței artificiale în atacuri

Adoptarea inteligenței artificiale în ecosistemul ransomware marchează o etapă de escaladare a complexității atacurilor. Malware-ul PromptLock, identificat într-unul din raporttele citate, reprezintă un exemplu de proof-of-concept care integrează un model de limbaj local (LLM) pentru generarea dinamică de scripturi malițioase și pentru analiza conținutului sistemului compromis. Această abordare permite adaptarea comportamentului malware-ului în timp real, în funcție de contextul sistemului țintă, facilitând atât selecția datelor pentru exfiltrare, cât și decizia de criptare.

Modele similare au fost raportate și în alte familii malware experimentale, precum PromptFlux și PromptSteal, care utilizează modele LLM pentru generarea de cod și adaptarea comportamentului în mod dinamic. În paralel, amenințări precum QuietVault evidențiază utilizarea AI pentru automatizarea descoperirii și exfiltrării de secrete, prin integrarea cu instrumente locale și token-uri compromise.

Pentru reducerea riscului operațional asociat acestor amenințări, este necesară implementarea unui set de controale de securitate stratificate. Acestea includ aplicarea promptă a patch-urilor de securitate, implementarea autentificării multifactor (MFA/2FA) și efectuarea de backup regulat al datelor. De asemenea, educarea angajaților prin sesiuni de conștientizare privind atacurile de phishing, vishing și alte metode de inginerie socială este esențială.

În urma acestor evoluții, un raport avertizează că, în contextul creșterii amenințărilor cibernetice, soluțiile de securitate bazate pe inteligență artificială, precum cele oferite de ESET, devin un instrument crucial pentru protejarea companiilor și utilizatorilor.