În 2025, atacurile de tip ransomware au înregistrat o creștere alarmantă, cu o evoluție de 40%, afectând în special sectoarele vulnerabile precum construcțiile, sănătatea și tehnologia. Conform celui mai recent raport ESET, peste 6.900 de victime au fost raportate, cu 1.700 de cazuri mai mult decât în anul precedent. Impactul financiar al acestor incidente este semnificativ, un exemplu fiind atacul asupra Jaguar Land Rover, care a generat pierderi de 2,5 miliarde USD.
Evoluția amenințărilor și noii actori
Peisajul grupurilor de ransomware s-a schimbat radical. Grupul dominant anterior, RansomHub, a fost neutralizat, iar poziția sa a fost preluată de Qilin, principalul furnizor de ransomware-as-a-service (RaaS), urmat de Akira. A fost identificat și un nou actor, Warlock, care operează discret, dar este extrem de activ și posedă capabilități tehnice avansate.
Warlock utilizează tehnici de compromitere bazate pe instrumente legitime din ecosistemul IT, precum Velociraptor, în combinație cu medii de dezvoltare, pentru a facilita persistența și comunicarea comandă-control (C2). Această abordare, cunoscută sub denumirea de „living off the land”, reduce amprenta detectabilă a atacurilor și complică analiza comportamentală.
Tehnici avansate de evaziune și integrarea inteligenței artificiale
Utilizarea instrumentelor de tip „EDR killer” a crescut în 2025, acestea fiind proiectate pentru a dezactiva soluțiile de securitate endpoint. Aceste instrumente exploatează frecvent tehnica BYOVD (Bring Your Own Vulnerable Driver), prin care un driver vulnerabil este introdus în sistem pentru a obține execuție la nivel de kernel. O altă metodă implică utilizarea mecanismelor legitime din Windows, precum Windows Error Reporting (WER), pentru a suspenda agenții EDR, fără a necesita exploatarea unui driver vulnerabil.
Adoptarea inteligenței artificiale în ecosistemul ransomware marchează o nouă etapă în complexitatea atacurilor. Malware-ul PromptLock, un exemplu, utilizează un model de limbaj local (LLM) pentru a genera scripturi malițioase și pentru a analiza conținutul sistemului compromis. Această abordare permite adaptarea în timp real a comportamentului malware-ului, facilitând selecția datelor pentru exfiltrare și decizia de criptare.
Măsuri de Mitigare și Recomandări Esențiale
Pentru a minimiza riscurile, este crucială implementarea unor controale de securitate stratificate. Acestea includ aplicarea promptă a patch-urilor de securitate, implementarea autentificării multifactor (MFA/2FA) pentru serviciile externe, configurarea detecției pentru aplicațiile potențial nedorite (PUA), efectuarea de backup regulat al datelor și educarea angajaților cu privire la atacurile de phishing și inginerie socială.
ESET oferă soluții avansate de securitate, inclusiv Ransomware Remediation, care restaurează automat fișierele criptate. Pentru organizațiile care necesită un grad mai ridicat de protecție, soluțiile ESET MDR oferă monitorizare permanentă 24/7 și expertiza analiștilor. Aceste soluții pot fi testate gratuit și sunt disponibile pentru descărcare.
