În ultimul an, atacurile ransomware au înregistrat o creștere semnificativă. Potrivit celui mai recent raport ESET, în 2025 numărul victimelor raportate a depășit 6.900, cu peste 1.700 mai multe decât în întregul an 2024, ceea ce indică o creștere anuală de aproximativ 40%. Printre domeniile cele mai afectate s-au numărat construcțiile, sectorul medical și tehnologia, iar impactul acestor incidente s-a reflectat și în pierderi financiare majore. De exemplu, un atac important din 2025 a vizat producătorul auto Jaguar Land Rover, blocând producția la nivel global și generând pierderi estimate la 2,5 miliarde USD – cel mai costisitor incident cibernetic din istoria Marii Britanii.
Apariția de noi actori și tactici emergente
Anul 2025 a adus schimbări majore în ecosistemul grupărilor ransomware, marcate de reorganizări spectaculoase. Fostul lider al pieței, RansomHub, a fost eliminat de un grup rival, iar poziția sa a fost preluată de Qilin, devenit principalul actor de tip RaaS (ransomware-as-a-service), urmat de Akira. Totuși, cea mai notabilă apariție a fost Warlock, un actor nou care, deși operează discret și are puține victime făcute publice, s-a dovedit extrem de activ și avansat tehnic, conform datelor de telemetrie. Grupul utilizează tehnici inovatoare de infiltrare, inclusiv abuzul unor instrumente legitime de investigație, precum Velociraptor, în combinație cu editoare de cod precum VS Code, pentru a stabili conexiuni remote dificil de detectat. Datorită acestor metode sofisticate de evaziune, Warlock este considerat un actor important de urmărit în 2026.
Pentru informații suplimentare și recomandări actualizate privind protecția împotriva ransomware-ului, ESET – liderul în securitate cibernetică din Uniunea Europeană – oferă gratuit un ghid dedicat, disponibil pentru descărcare.
EDR killers și metode de ocolire a securității
Atacatorii care utilizează ransomware și-au diversificat arsenalul prin dezvoltarea unor instrumente special concepute pentru a neutraliza soluțiile de securitate. În 2025 s-a remarcat consolidarea programelor de tip „EDR killer”, create pentru a dezactiva antivirusul sau mecanismele de detecție și răspuns (EDR) din sistemele compromise. Au fost identificate numeroase astfel de unelte noi, folosite activ de grupările ransomware.
Metoda predominantă rămâne BYOVD (Bring Your Own Vulnerable Driver), prin care atacatorii introduc în sistem drivere vulnerabile ce le permit să ruleze la nivel de kernel și să dezactiveze procesele de securitate. În paralel, apar și tehnici mai subtile, precum instrumentul „EDR-Freeze”, care ocolește soluțiile de protecție direct din modul utilizator, prin intermediul Windows Error Reporting (WER). Această abordare elimină nevoia utilizării unui driver vulnerabil și poate plasa agenții EDR într-o stare de inactivitate.
Potrivit experților, aceste tendințe vor continua și în 2026, programele de tip „EDR killer” rămânând o componentă esențială în arsenalul infractorilor cibernetici, alături de noi instrumente care vor apărea în campaniile viitoare. Ca măsură de prevenție, specialiștii recomandă activarea detecției aplicațiilor potențial nedorite (PUA), pentru a bloca instalarea driverelor vulnerabile încă din faza inițială.
Amplificarea riscurilor pe care o aduce Inteligenţa Artificială
Inteligența Artificială devine tot mai prezentă în ecosistemul atacurilor cibernetice, fiind rapid adoptată de infractori pentru a-și crește eficiența. Un exemplu relevant este ransomware-ul PromptLock, identificat de ESET în 2025 drept primul malware care integrează un model AI local. Acesta generează în timp real scripturi malițioase folosind modele de limbaj (LLM) și analizează automat datele victimei pentru a decide dacă acestea vor fi criptate sau exfiltrate.
Deși PromptLock a fost inițial un proof-of-concept dezvoltat în mediul academic, el evidențiază potențialul AI de a facilita atacuri sofisticate și de a îngreuna detectarea acestora. În aceeași direcție, au fost observate instrumente experimentale precum PromptFlux și PromptSteal, care folosesc modele LLM pentru a genera cod malițios la cerere și pentru a-și adapta comportamentul în mod dinamic.
De asemenea, au fost raportate amenințări precum QuietVault, un malware specializat în furtul de credențiale (de exemplu, token-uri GitHub sau NPM), care utilizează ulterior AI pentru a identifica și extrage alte informații sensibile din sistemele compromise. În plus, atacatorii reușesc să ocolească mecanismele de siguranță ale modelelor AI prin tehnici avansate de inginerie socială, formulând solicitări menite să inducă generarea de cod malițios.
În acest context, în 2026 este de așteptat ca atacurile asistate de Inteligența Artificială să devină tot mai complexe și mai dificil de detectat, pe măsură ce malware-ul capătă capacități de adaptare automată.
ESET oferă un raport detaliat care include recomandări practice pentru întărirea securității organizaționale și pentru gestionarea eficientă a situațiilor în care un atac ransomware reușește să depășească măsurile de protecție. Raportul poate fi descărcat gratuit aici.
Recomandări de protecție anti-ransomware
Pentru anul 2026, specialiștii ESET recomandă consolidarea măsurilor de securitate de bază prin câteva acțiuni esențiale:
- Actualizarea constantă a sistemelor și aplicațiilor prin instalarea patch-urilor de securitate și verificarea periodică a vulnerabilităților cunoscute.
- Activarea autentificării multifactor (2FA) ori de câte ori este posibil, în special pentru serviciile de acces de la distanță, precum RDP sau VPN.
- Implementarea unor soluții de securitate endpoint solide, completate de capabilități EDR.
- Activarea detecției aplicațiilor potențial nedorite (PUA), pentru a preveni instalarea instrumentelor malițioase de tip „EDR killer”.
- Realizarea regulată a copiilor de siguranță și stocarea acestora offline sau în medii separate, imuabile.
- Instruirea angajaților prin sesiuni de conștientizare privind riscurile asociate phishing-ului, vishing-ului și altor tehnici de inginerie socială.
ESET furnizează soluții moderne de securitate digitală, concepute pentru a anticipa și preveni atacurile informatice înainte ca acestea să se materializeze. Funcționalitatea Ransomware Remediation, integrată în portofoliul ESET, este o tehnologie proprietară care permite restaurarea automată a fișierelor criptate în situațiile în care ransomware-ul este detectat într-o etapă ulterioară, după inițierea procesului de criptare.
Pentru organizațiile care necesită un nivel avansat de protecție, serviciile ESET MDR adaugă un strat esențial de securitate, combinând monitorizarea continuă 24/7 cu expertiza analiștilor specializați. Prin utilizarea capabilităților XDR, corelarea evenimentelor și răspunsul activ la incidente, aceste soluții permit identificarea și blocarea atacurilor sofisticate încă din faze incipiente, inclusiv a celor care reușesc să evite metodele tradiționale de detecție.
Soluțiile de securitate ESET destinate infrastructurilor business pot fi descărcate și testate gratuit și pot fi solicitate aici.
Prin integrarea expertizei umane cu puterea Inteligenței Artificiale, ESET rămâne în avangarda protecției împotriva amenințărilor cibernetice emergente și a celor deja cunoscute, asigurând securitatea companiilor, infrastructurilor critice și utilizatorilor individuali. Indiferent de tipul de protecție necesar – endpoint, cloud sau mobile – soluțiile cloud-first, bazate pe AI sunt atât eficiente, cât și ușor de utilizat. În completarea apărării în timp real, 24/7, ESET oferă și suport localizat eficient (inclusiv în România), angajându-se activ în cercetarea celor mai noi amenințări prin centrele proprii R&D, inclusiv cel din Iași, și printr-o rețea globală extinsă de parteneri.
