English
În ultimul an, atacurile de tip ransomware au înregistrat o creştere semnificativă la nivel global. Potrivit celui mai recent raport ESET, în 2025 numărul victimelor raportate a depăşit 6.900, cu peste 1.700 mai multe decât în întregul an 2024, ceea ce indică o creştere anuală de aproximativ 40%.
Printre domeniile cele mai afectate de aceste atacuri ransomware s-au numărat construcţiile, sectorul medical şi tehnologia, iar impactul acestor incidente s-a reflectat în pierderi financiare majore. De exemplu, un atac important din 2025 a vizat producătorul auto Jaguar Land Rover, blocând producţia la nivel global şi generând pierderi estimate la 2,5 miliarde USD - acesta fiind cel mai costisitor incident cibernetic din istoria Marii Britanii.
Apariţia de noi actori şi tactici emergente
Anul 2025 a adus schimbări majore în ecosistemul grupărilor ransomware, marcate de reorganizări spectaculoase şi de apariţia unor noi actori. Fostul lider al pieţei, RansomHub, a fost eliminat de un grup rival, iar poziţia sa a fost preluată de Qilin, devenit principalul actor de tip RaaS (ransomware-as-a-service), urmat de Akira.
Totuşi, cea mai notabilă apariţie în peisajul ransomware a fost Warlock, un actor nou care, deşi operează discret şi are puţine victime făcute publice, s-a dovedit extrem de activ şi avansat tehnic, conform datelor de telemetrie.
Grupul utilizează tehnici inovatoare de infiltrare, inclusiv abuzul unor instrumente legitime de investigaţie, precum Velociraptor, în combinaţie cu editoare de cod precum Visual Studio Code, pentru a stabili conexiuni remote dificil de detectat de către soluţiile tradiţionale de securitate cibernetică. Datorită acestor metode sofisticate de evaziune, Warlock este considerat un actor ransomware important de urmărit în 2026.
Pentru informaţii suplimentare şi recomandări actualizate privind protecţia împotriva atacurilor ransomware, ESET - lider în securitate cibernetică în Uniunea Europeană - oferă gratuit un ghid dedicat, disponibil pentru descărcare.
EDR killers şi tehnici de evitare a protecţiilor implementate de companii
Atacatorii care utilizează ransomware şi-au extins arsenalul prin dezvoltarea unor instrumente special create pentru a neutraliza soluţiile de securitate. În 2025 s-a evidenţiat consolidarea programelor de tip „EDR killer”, concepute pentru a dezactiva antivirusul sau mecanismele de detecţie şi răspuns (EDR) din sistemele compromise. Au fost identificate numeroase astfel de unelte noi, utilizate activ de grupările ransomware.
Metoda dominantă rămâne BYOVD (Bring Your Own Vulnerable Driver), prin care atacatorii introduc în sistem drivere vulnerabile ce le permit să ruleze la nivel de kernel şi să dezactiveze procesele de securitate. În paralel, apar şi tehnici mai discrete, precum instrumentul „EDR-Freeze”, care permite ocolirea soluţiilor de protecţie direct din modul utilizator, prin intermediul Windows Error Reporting (WER). Această metodă elimină necesitatea utilizării unui driver vulnerabil şi poate plasa agenţii EDR într-o stare de inactivitate.
Potrivit experţilor, aceste tendinţe vor continua şi în 2026, programele de tip „EDR killer” rămânând o componentă esenţială în arsenalul infractorilor cibernetici, alături de noi instrumente care vor apărea în campaniile viitoare. Ca măsură de prevenţie, specialiştii recomandă activarea detecţiei aplicaţiilor potenţial nedorite (PUA), pentru a bloca instalarea driverelor vulnerabile încă din faza iniţială.
Amplificarea riscurilor generate de Inteligenţa Artificială
Inteligenţa Artificială devine tot mai prezentă în ecosistemul atacurilor cibernetice, fiind rapid adoptată de infractori pentru a-şi creşte eficienţa. Un exemplu relevant este ransomware-ul PromptLock, identificat de ESET în 2025 ca fiind primul malware care integrează un model AI local. Acesta generează în timp real scripturi maliţioase utilizând modele de limbaj (LLM) şi analizează automat datele victimei pentru a decide dacă acestea vor fi criptate sau exfiltrate.
Deşi PromptLock a fost iniţial un proof-of-concept dezvoltat în mediul academic, acesta evidenţiază potenţialul Inteligenţei Artificiale de a facilita atacuri sofisticate şi de a face detectarea acestora mai dificilă. În aceeaşi direcţie, au fost identificate instrumente experimentale precum PromptFlux şi PromptSteal, care folosesc modele LLM pentru a genera cod maliţios la cerere şi pentru a-şi adapta comportamentul în mod dinamic.
De asemenea, au fost raportate ameninţări precum QuietVault, un malware specializat în furtul de credenţiale (de exemplu, token-uri GitHub sau NPM), care utilizează ulterior AI pentru a identifica şi extrage alte informaţii sensibile din sistemele compromise. În plus, atacatorii reuşesc să ocolească mecanismele de siguranţă ale modelelor AI prin tehnici avansate de inginerie socială, formulând solicitări concepute pentru a determina generarea de cod maliţios.
În acest context, pentru anul 2026 se estimează că atacurile asistate de Inteligenţa Artificială vor deveni tot mai complexe şi mai dificil de detectat, pe măsură ce malware-ul dobândeşte capacităţi de adaptare automată.
ESET pune la dispoziţie un raport detaliat despre ransomware, care include recomandări practice pentru consolidarea securităţii organizaţionale şi pentru gestionarea eficientă a situaţiilor în care un atac reuşeşte să depăşească măsurile de protecţie. Raportul este disponibil pentru descărcare gratuită aici.
Recomandări pentru protecţia împotriva ransomware-ului
Pentru anul 2026, specialiştii ESET recomandă consolidarea măsurilor de securitate de bază printr-o serie de acţiuni esenţiale:
- Actualizarea permanentă a sistemelor şi aplicaţiilor prin instalarea patch-urilor de securitate disponibile şi verificarea periodică a vulnerabilităţilor cunoscute.
- Activarea autentificării multifactor (2FA) ori de câte ori este posibil, în special pentru serviciile de acces de la distanţă, precum RDP sau VPN.
- Utilizarea unor soluţii de securitate endpoint robuste, completate de capabilităţi EDR pentru detecţie şi răspuns avansat.
- Activarea detecţiei pentru aplicaţiile potenţial nedorite (PUA), cu scopul de a preveni instalarea instrumentelor maliţioase de tip „EDR killer”.
- Realizarea periodică a copiilor de siguranţă şi stocarea acestora offline sau în medii separate, protejate şi imuabile.
- Instruirea angajaţilor prin sesiuni de conştientizare privind riscurile asociate atacurilor de tip phishing, vishing şi altor tehnici de inginerie socială.
ESET oferă soluţii moderne de securitate cibernetică, dezvoltate pentru a anticipa şi preveni atacurile informatice înainte ca acestea să producă impact. Funcţionalitatea Ransomware Remediation, integrată în portofoliul ESET, reprezintă o tehnologie proprietară care permite restaurarea automată a fişierelor criptate în situaţiile în care ransomware-ul este identificat într-o etapă ulterioară, după declanşarea procesului de criptare.
Pentru organizaţiile care necesită un nivel ridicat de protecţie, serviciile ESET MDR adaugă un strat critic de securitate, combinând monitorizarea continuă 24/7 cu expertiza analiştilor specializaţi. Prin utilizarea capabilităţilor XDR, corelarea evenimentelor şi răspunsul activ la incidente, aceste soluţii permit detectarea şi blocarea atacurilor avansate încă din faze incipiente, inclusiv a celor care reuşesc să evite metodele clasice de detecţie.
Prin combinarea expertizei umane cu capabilităţile Inteligenţei Artificiale, ESET se menţine în avangarda protecţiei împotriva ameninţărilor cibernetice, atât emergente, cât şi deja cunoscute, asigurând securitatea companiilor, infrastructurilor critice şi utilizatorilor individuali. Indiferent de tipul de protecţie necesar - endpoint, cloud sau mobile - soluţiile cloud-first, bazate pe AI, oferă un echilibru optim între eficienţă şi uşurinţă în utilizare. În completarea protecţiei în timp real, 24/7, ESET asigură şi suport localizat eficient (inclusiv în România), implicându-se activ în cercetarea celor mai recente ameninţări prin centrele proprii R&D, inclusiv cel din Iaşi, precum şi printr-o reţea globală extinsă de parteneri.
Euro
Dolar SUA
Franc elveţian
Liră sterlină
Gram de aur
