Analiză ESET: De ce atacurile ransomware devin tot mai greu de detectat și cum poți rămâne cu un pas înainte

În ultimul an, atacurile de tip ransomware au înregistrat o creștere accentuată. Conform celui mai nou raport ESET, în 2025 numărul de victime raportate a depășit 6.900 – cu peste 1.700 mai multe decât în tot anul 2024, marcând o creștere anuală de aproximativ 40%. Printre sectoarele cele mai vizate s-au numărat construcţiile, sănătatea și tehnologia, iar impactul acestor atacuri s-a văzut și în cifre: de exemplu, un incident major din 2025 a afectat producătorul auto Jaguar Land Rover, blocând producţia globală și cauzând pierderi estimate la 2,5 miliarde USD – acesta fiind cel mai costisitor incident cibernetic din istoria Marii Britanii. 

Noi actori și tactici emergente 

2025 a fost și scena unor reorganizări spectaculoase în lumea actorilor ransomware. Liderul pieței, gruparea RansomHub, a fost anihilată de un grup rival, iar locul ei a fost ocupat de Qilin, care a devenit principala amenințare publică de tip RaaS (ransomware-as-a-service), urmată în popularitate de Akira. Însă surpriza a fost apariţia unui actor nou, denumit Warlock. Deși operează discret și are puține victime afișate public, din analiza telemetriei a rezultat că Warlock este un actor extrem de activ și avansat tehnic. Grupul apelează la tehnici inovatoare de penetrare – de exemplu, abuzează instrumente legitime de investigaţie (precum Velociraptor) cuplate cu un editor de cod (VS Code) pentru a stabili conexiuni remote ascunse. Tocmai din cauza acestor noi metode de evaziune, Warlock este un actor „de urmărit” în 2026. 

Pentru mai multe informații și recomandări actualizate privind protecția împotriva ransomware-ului, ESET – compania de securitate cibernetică nr. 1 din Uniunea Europeană – oferă gratuit pentru descărcare un ghid dedicat.

EDR killers și metode de ocolire a securității 

Atacatorii „înarmați” cu ransomware au dezvoltat și unelte specializate pentru a neutraliza soluțiile de securitate. În 2025 s-a consolidat prezența programelor de tip „EDR killer”, care sunt concepute pentru a dezactiva antivirusul sau mecanismul de detectare și răspuns (EDR) din sistemul victimei. Astfel au fost descoperite multiple instrumente noi de acest tip, și exploatate activ de grupările de mai sus. Metoda dominantă este BYOVD (Bring Your Own Vulnerable Driver) prin care atacatorul încarcă în sistem un driver vulnerabil care îi permite să ruleze la nivel de kernel și să „neutralizeze” procesele de securitate. 
Însă o metodă mult mai discretă este demonstrată de un instrument denumit „EDR-Freeze”, care permite ocolirea soluțiilor de securitate direct din modul utilizator, prin intermediul sistemului Windows Error Reporting (WER) de la Microsoft. Tehnica elimină necesitatea unui driver vulnerabil și pune agenții de securitate EDR într-o stare de hibernare.
Potrivit experţilor, trendul va continua în 2026: aceste programe de tip „EDR killer” vor rămâne în arsenalul infractorilor cibernetici, și cu siguranță vor fi însoțite de apariții noi în campaniile viitoare. 

Ca modalități de prevenție, specialiștii recomandă activarea în soluțiile de protecție a detecției programelor potențial nedorite (PUA), astfel încât instalarea driverelor vulnerabile să fie oprită din start. 

Impactul Inteligenţei Artificiale în atacurile cibernetice 

Inteligența Artificială devine tot mai mult un aliat al infractorilor cibernetici, aceștia având dintotdeauna o apetență ridicată în adoptarea și utilizarea celor mai noi tehnologii. Un exemplu ilustrativ este ransomware-ul PromptLock, descoperit de ESET în 2025 ca fiind primul malware care încorporează un model AI local. PromptLock generează în timp real scripturi malițioase pe baza unui model de limbaj (LLM) și analizează automat fișierele victimei pentru a decide dacă le criptează sau le exfiltrează. Deși în cazul PromptLock a fost vorba de un simplu proof-of-concept realizat și publicat liber de o echipă de cadre universitare de la NYU, el demonstrează că Inteligența Artificială poate „facilita dramatic” efectuarea de atacuri sofisticate și poate complica semnificativ detecția acestora. 

Aceste constatări se aliniază și observațiilor experților Google, de exemplu, care evidențiază existența deja a unor pachete malware experimentale precum PromptFlux și PromptSteal, care folosesc modele LLM pentru a genera cod malițios la cerere și a-şi reconfigura comportamentul dinamic. De asemenea, s-au raportat amenințări precum QuietVault, un malware ce fură credenţiale (token-uri GitHub/NPM) și apoi folosește prompturi AI și tool-uri locale pentru a căuta automat alte secrete pe sistemul compromis și a le exfiltra. Atacatorii chiar reușesc să „păcălească” barierele de siguranță ale AI-ului prin inginerie socială avansată, formulând interogări ca și cum ar fi cercetători sau studenți, pentru a convinge modelele AI să genereze cod malițios ocolind filtrele de protecție.  

De aceea în 2026, ne putem aştepta ca atacurile asistate de Inteligența Artificială să crească în complexitate, devenind tot mai greu de detectat pe măsură ce malware-ul devine autoadaptabil. 

ESET pune la dispoziție un raport detaliat ce include recomandări utile pentru consolidarea securității organizaționale și pentru reacția eficientă în cazul în care un atac ransomware reușește să treacă de măsurile de apărare. Raportul poate fi descărcat gratuit de aici.

Recomandări de protecție pentru 2026 

Pentru acest an, experții recomandă întărirea măsurilor de securitate de bază prin câțiva pași simpli: 

• Actualizarea la zi a sistemelor și aplicațiilor prin instalarea patch-urilor de securitate disponibile și verificarea periodică pentru vulnerabilitățile cunoscute. 
• Activarea autentificării multifactor (2FA) oriunde este posibil, cu atenție în special la servicii de acces de la distanță (de exemplu RDP, VPN). 
• Folosirea de soluții de securitate endpoint robuste, dublate de capabilități EDR 
• Configurarea detecției pentru aplicațiile potențial nedorite (PUA) pentru blocarea eventualelor instrumente malițioase de tip “EDR killer”. 
• Efectuarea de backup regulat al datelor și stocarea offline sau într-un mediu separat, imuabil. 
• Educarea angajaților prin sesiuni de conștientizare privind atacurile de phishing, vishing și alte metode de inginerie socială. 

ESET oferă soluții de securitate digitală de ultimă generație, dezvoltate pentru a anticipa și a preveni atacurile informatice înainte ca acestea să devină reale. Noua funcționalitate Ransomware Remediation, integrată în soluțiile ESET, este o tehnologie proprietară care ajută la restaurarea automată a fișierelor criptate în cazul în care ransomware-ul este detectat într-un stadiu ulterior al atacului, după ce procesul de criptare a început deja.
Pentru organizațiile care au nevoie de un nivel superior de protecție, soluțiile ESET MDR adaugă un strat critic de securitate, combinând monitorizarea continuă 24/7 cu expertiza analiștilor ESET. Prin utilizarea capabilităților XDR, corelarea evenimentelor și răspuns activ la incidente, MDR permite identificarea și blocarea atacurilor avansate în faze incipiente, inclusiv a celor care evită detecția clasică.
Soluțiile de securitate ESET sunt disponibile oricând pentru descărcare și testare gratuită și pot fi solicitate aici.

Prin integrarea expertizei umane cu puterea Inteligenței Artificiale, ESET rămâne în avangarda protecției împotriva amenințărilor cibernetice emergente și a celor deja cunoscute, asigurând securitatea companiilor, infrastructurilor critice și utilizatorilor individuali. Indiferent de tipul de protecție necesar – endpoint, cloud sau mobile – soluțiile cloud-first, bazate pe AI sunt atât eficiente, cât și ușor de utilizat. În completarea apărării în timp real, 24/7, ESET oferă și suport localizat eficient (inclusiv în România), angajându-se activ în cercetarea celor mai noi amenințări prin centrele proprii R&D, inclusiv cel din Iași, și printr-o rețea globală extinsă de parteneri. 

Articol susținut de ESET