. Potrivit unei analize ESET, anul 2025 a adus o creștere de aproximativ 40% a numărului de victime raportate, depășind pragul de 6.900 de cazuri. Această tendință reflectă nu doar o creștere cantitativă, ci și o schimbare semnificativă în complexitatea atacurilor, care afectează industrii esențiale precum sănătatea, construcțiile și tehnologia, iar impactul acestor atacuri s-a văzut și în cifre: de exemplu, un incident major din 2025 a afectat producătorul auto Jaguar Land Rover, blocând producţia globală și cauzând pierderi estimate la 2,5 miliarde USD – acesta fiind cel mai costisitor incident cibernetic din istoria Marii Britanii.
Peisajul Ransomware: Ce s-a schimbat și cine domină piața RaaS?
Piața atacurilor cibernetice a fost marcată de reorganizări spectaculoase în rândul grupărilor de criminalitate informatică. Dinamica dintre principalii actori RaaS (Ransomware-as-a-Service) s-a schimbat radical:
- RansomHub, fostul lider de piață, a fost anihilat de o grupare rivală.
- Qilin a profitat de moment și a devenit principala amenințare publică de tip RaaS.
- Akira își menține poziția a doua în topul popularității și al atacurilor reușite.
Cine este Warlock, noua amenințare cibernetică de urmărit?
Dincolo de rotația liderilor cunoscuți, surpriza majoră o reprezintă apariția unui actor nou și extrem de periculos: gruparea Warlock.
Deși operează discret și afișează puține victime în mod public, analiza telemetriei arată că Warlock este un actor extrem de activ și avansat din punct de vedere tehnic. Grupul se remarcă prin tehnici inovatoare de penetrare și evaziune:
- Abuzul de instrumente legitime: Folosește utilitare recunoscute de investigație (cum ar fi Velociraptor).
- Conexiuni remote ascunse: Combină aceste instrumente cu un editor de cod popular (VS Code) pentru a trece nedetectat de sistemele de securitate clasice.
Datorită acestor metode avansate de ocolire a detecției, experții avertizează că Warlock este una dintre cele mai periculoase amenințări ransomware de urmărit în perioada următoare.
Protejați-vă compania împotriva noilor atacuri Ransomware
Pentru a face față acestor tactici avansate de evaziune, companiile au nevoie de strategii de apărare actualizate și de o telemetrie performantă.
ESET — compania de securitate cibernetică nr. 1 din Uniunea Europeană — vă pune la dispoziție expertiza sa. Descărcați gratuit ghidul nostru dedicat și aflați cele mai bune recomandări și bune practici pentru protecția împotriva ransomware-ului.
Descărcați Ghidul Gratuit de Protecție Ransomware de la ESET
EDR killers și metode de ocolire a securității
Atacatorii „înarmați” cu ransomware au dezvoltat și unelte specializate pentru a neutraliza soluțiile de securitate. În 2025 s-a consolidat prezența programelor de tip „EDR killer”, care sunt concepute pentru a dezactiva antivirusul sau mecanismul de detectare și răspuns (EDR) din sistemul victimei. Astfel au fost descoperite multiple instrumente noi de acest tip, și exploatate activ de grupările de mai sus. Metoda dominantă este BYOVD (Bring Your Own Vulnerable Driver) prin care atacatorul încarcă în sistem un driver vulnerabil care îi permite să ruleze la nivel de kernel și să „neutralizeze” procesele de securitate.
Însă o metodă mult mai discretă este demonstrată de un instrument denumit „EDR-Freeze”, care permite ocolirea soluțiilor de securitate direct din modul utilizator, prin intermediul sistemului Windows Error Reporting (WER) de la Microsoft. Tehnica elimină necesitatea unui driver vulnerabil și pune agenții de securitate EDR într-o stare de hibernare.
Potrivit experţilor, trendul va continua în 2026: aceste programe de tip „EDR killer” vor rămâne în arsenalul infractorilor cibernetici, și cu siguranță vor fi însoțite de apariții noi în campaniile viitoare.
Ca modalități de prevenție, specialiștii recomandă activarea în soluțiile de protecție a detecției programelor potențial nedorite (PUA), astfel încât instalarea driverelor vulnerabile să fie oprită din start.
Impactul Inteligenţei Artificiale în atacurile cibernetice
Inteligența Artificială devine tot mai mult un aliat al infractorilor cibernetici, aceștia având dintotdeauna o apetență ridicată în adoptarea și utilizarea celor mai noi tehnologii. Un exemplu ilustrativ este ransomware-ul PromptLock, descoperit de ESET în 2025 ca fiind primul malware care încorporează un model AI local. PromptLock generează în timp real scripturi malițioase pe baza unui model de limbaj (LLM) și analizează automat fișierele victimei pentru a decide dacă le criptează sau le exfiltrează. Deși în cazul PromptLock a fost vorba de un simplu proof-of-concept realizat și publicat liber de o echipă de cadre universitare de la NYU, el demonstrează că Inteligența Artificială poate „facilita dramatic” efectuarea de atacuri sofisticate și poate complica semnificativ detecția acestora.
Aceste constatări se aliniază și observațiilor experților Google, de exemplu, care evidențiază existența deja a unor pachete malware experimentale precum PromptFlux și PromptSteal, care folosesc modele LLM pentru a genera cod malițios la cerere și a-şi reconfigura comportamentul dinamic. De asemenea, s-au raportat amenințări precum QuietVault, un malware ce fură credenţiale (token-uri GitHub/NPM) și apoi folosește prompturi AI și tool-uri locale pentru a căuta automat alte secrete pe sistemul compromis și a le exfiltra. Atacatorii chiar reușesc să „păcălească” barierele de siguranță ale AI-ului prin inginerie socială avansată, formulând interogări ca și cum ar fi cercetători sau studenți, pentru a convinge modelele AI să genereze cod malițios ocolind filtrele de protecție.
De aceea în 2026, ne putem aştepta ca atacurile asistate de Inteligența Artificială să crească în complexitate, devenind tot mai greu de detectat pe măsură ce malware-ul devine autoadaptabil.
ESET oferă un raport detaliat despre ransomware, cu recomandări esențiale pentru întărirea securității organizaționale și gestionarea eficientă a incidentelor cibernetice, raport ce poate fi descărcat gratuit de aici.
Recomandări de protecție pentru 2026
Pentru acest an, experții recomandă întărirea măsurilor de securitate de bază prin câțiva pași simpli:
- Actualizarea la zi a sistemelor și aplicațiilor prin instalarea patch-urilor de securitate disponibile și verificarea periodică pentru vulnerabilitățile cunoscute.
- Activarea autentificării multifactor (2FA) oriunde este posibil, cu atenție în special la servicii de acces de la distanță (de exemplu RDP, VPN).
- Folosirea de soluții de securitate endpoint robuste, dublate de capabilități EDR
- Configurarea detecției pentru aplicațiile potențial nedorite (PUA) pentru blocarea eventualelor instrumente malițioase de tip “EDR killer”.
- Efectuarea de backup regulat al datelor și stocarea offline sau într-un mediu separat, imuabil.
- Educarea angajaților prin sesiuni de conștientizare privind atacurile de phishing, vishing și alte metode de inginerie socială.
ESET oferă soluții de securitate digitală de ultimă generație, dezvoltate pentru a anticipa și a preveni atacurile informatice înainte ca acestea să devină reale. Noua funcționalitate Ransomware Remediation, integrată în soluțiile ESET, este o tehnologie proprietară care ajută la restaurarea automată a fișierelor criptate în cazul în care ransomware-ul este detectat într-un stadiu ulterior al atacului, după ce procesul de criptare a început deja.
Pentru organizațiile care au nevoie de un nivel superior de protecție, soluțiile ESET MDR adaugă un strat critic de securitate, combinând monitorizarea continuă 24/7 cu expertiza analiștilor ESET. Prin utilizarea capabilităților XDR, corelarea evenimentelor și răspuns activ la incidente, MDR permite identificarea și blocarea atacurilor avansate în faze incipiente, inclusiv a celor care evită detecția clasică.
Soluțiile de securitate ESET sunt disponibile oricând pentru descărcare și testare gratuită și pot fi solicitate aici.
Prin integrarea expertizei umane cu puterea Inteligenței Artificiale, ESET rămâne în avangarda protecției împotriva amenințărilor cibernetice emergente și a celor deja cunoscute, asigurând securitatea companiilor, infrastructurilor critice și utilizatorilor individuali. Indiferent de tipul de protecție necesar – endpoint, cloud sau mobile – soluțiile cloud-first, bazate pe AI sunt atât eficiente, cât și ușor de utilizat. În completarea apărării în timp real, 24/7, ESET oferă și suport localizat eficient (inclusiv în România), angajându-se activ în cercetarea celor mai noi amenințări prin centrele proprii R&D, inclusiv cel din Iași, și printr-o rețea globală extinsă de parteneri.
