Ransomware-ul, o amenințare cibernetică în creștere, a provocat pierderi de miliarde de dolari
Campaniile de tip ransomware au cunoscut o expansiune semnificativă în ultimul an, atât în ceea ce privește volumul, cât și sofisticarea tehnică. Potrivit datelor recente, peste 6.900 de victime au fost raportate în 2025, o creștere de peste 1.700 de cazuri față de anul precedent, echivalentul unei evoluții de aproximativ 40%. Sectoarele vizate de atacatori au fost cele cu expunere ridicată și toleranță scăzută la întreruperi operaționale, cum ar fi construcțiile, sănătatea și tehnologia. Impactul financiar al acestor incidente este considerabil, un exemplu relevant fiind atacul asupra Jaguar Land Rover, care a generat întreruperi globale ale producției și pierderi estimate la 2,5 miliarde USD.
Grupări ransomware și evoluția atacurilor
Peisajul grupărilor ransomware a suferit reconfigurări notabile în 2025. Gruparea dominantă anterior, RansomHub, a fost neutralizată de un actor rival, iar poziția sa a fost preluată de Qilin, care s-a consolidat ca principal furnizor de ransomware-as-a-service (RaaS), urmat de Akira. În paralel, a fost identificat un actor emergent, denumit Warlock, care operează cu un profil redus de vizibilitate, dar prezintă o activitate intensă și capabilități tehnice avansate. Warlock utilizează tehnici de compromitere care implică abuzul de instrumente legitime din ecosistemul IT, precum Velociraptor, în combinație cu medii de dezvoltare (ex. VS Code), pentru a facilita persistența și comunicarea comandă-control (C2) prin canale greu de detectat. Această abordare se înscrie în tendința generală de „living off the land”, reducând amprenta detectabilă și complicând analiza comportamentală.
Mecanisme avansate de evaziune și integrarea inteligenței artificiale
În 2025, s-a observat o creștere a utilizării instrumentelor de tip „EDR killer”, proiectate pentru a dezactiva soluțiile de securitate endpoint, inclusiv mecanismele EDR și antivirus. Acestea exploatează în mod frecvent tehnica BYOVD (Bring Your Own Vulnerable Driver), prin care un driver vulnerabil este introdus în sistem pentru a obține execuție la nivel de kernel, permițând ulterior manipularea proceselor de securitate. O metodă alternativă, mai puțin dependentă de escaladarea privilegiilor la nivel de kernel, este reprezentată de tehnica „EDR-Freeze”. Aceasta utilizează mecanisme legitime din Windows, precum Windows Error Reporting (WER), pentru a induce o stare de suspendare a agenților EDR, fără a necesita exploatarea unui driver vulnerabil. Adoptarea inteligenței artificiale în ecosistemul ransomware marchează o etapă de escaladare a complexității atacurilor. Malware-ul PromptLock, identificat recent, reprezintă un exemplu de proof-of-concept care integrează un model de limbaj local (LLM) pentru generarea dinamică de scripturi malițioase și pentru analiza conținutului sistemului compromis.
Măsuri de protecție
Pentru reducerea riscului operațional asociat cu aceste amenințări, este necesară implementarea unui set de controale de securitate stratificate, cum ar fi aplicarea promptă a patch-urilor de securitate, implementarea autentificării multifactor și efectuarea de backup regulat al datelor. De asemenea, educarea angajaților prin sesiuni de conștientizare privind atacurile de phishing și alte metode de inginerie socială este esențială.
