Raportul Kaspersky „State of Ransomware Report–2025”: Perspective Globale și Regionale pentru Ziua Internațională de Luptă Împotriva Ransomware

Odată cu apropierea Zilei Internaționale de Luptă Împotriva Ransomware, pe 12 mai, Kaspersky prezintă raportul său anual privind peisajul global și regional al amenințărilor cibernetice de tip ransomware. Scopul acestei zile este de a crește nivelul de informare la nivel global cu privire la pericolele generate de ransomware și de a promova cele mai bune practici pentru prevenție și reacție.

Conform datelor din Kaspersky Security Network, regiunile Orientului Mijlociu, APAC (Asia-Pacific) și Africa înregistrează cele mai mari procente de utilizatori afectați de ransomware, în timp ce America Latină, CSI (Comunitatea Statelor Independente) și Europa se situează pe poziții inferioare. La nivel global, între 2023 și 2024, ponderea victimelor incidentelor de ransomware a crescut cu 0,02 puncte procentuale, ajungând la 0,44%. Acest procent aparent redus este tipic pentru atacurile ransomware, fiind explicat prin faptul că atacatorii nu distribuie acest tip de malware pe scară largă, ci vizează în special ținte de mare valoare, ceea ce duce la un număr total mai mic de incidente.

În regiunile Orientului Mijlociu și Asia-Pacific, ransomware-ul a afectat un procent mai mare de utilizatori din cauza transformării digitale accelerate, a ariei de atac tot mai extinse și a nivelurilor variate de maturitate în domeniul securității cibernetice. În APAC, companiile mari au fost ținte preponderente, fiind vizate în special infrastructura și tehnologiile operaționale, mai ales în țările cu economii în creștere și noi legi privind protecția datelor.

În Africa, ransomware-ul este mai puțin răspândit din cauza nivelurilor reduse de digitalizare și a constrângerilor economice, care limitează numărul țintelor valoroase. Totuși, pe măsură ce țări precum Africa de Sud și Nigeria își dezvoltă economiile digitale, atacurile ransomware sunt în creștere, în special în sectoarele de producție, financiar și guvernamental. Gradul redus de conștientizare privind securitatea cibernetică și resursele limitate lasă multe organizații vulnerabile, deși aria de atac mai mică face ca regiunea să rămână în urma principalelor zone afectate la nivel global.

Și America Latină se confruntă cu atacuri ransomware, în special în Brazilia, Argentina, Chile și Mexic. Sunt vizate sectoarele de producție, guvernamental și agricol, precum și domeniile critice precum energia și retail-ul. Totuși, constrângerile economice și valorile mai mici ale răscumpărărilor descurajează anumiți atacatori. Cu toate acestea, digitalizarea în creștere din regiune duce la o expunere tot mai mare în fața acestor amenințări.

Europa este constant vizată de atacuri ransomware, însă beneficiază de cadre solide de securitate cibernetică și reglementări care descurajează o parte dintre atacatori. Sectoare precum cel de producție, agricultură și educație sunt frecvent țintite, dar răspunsul matur la incidente și nivelul ridicat de conștientizare limitează amploarea atacurilor. Datorită economiilor diversificate și apărării consolidate, regiunea este mai puțin atrăgătoare pentru grupările ransomware în comparație cu zonele în care digitalizarea avansează rapid, dar în condiții de securitate mai slabe.

Tendințe actuale și emergente în domeniul ransomware

Instrumentele de inteligență artificială au fost tot mai des utilizate în dezvoltarea ransomware-ului, așa cum demonstrează gruparea FunkSec, apărută la sfârșitul anului 2024. Aceasta a câștigat rapid notorietate, depășind grupuri consacrate precum Cl0p și RansomHub, doar în luna decembrie revendicând numeroase atacuri. Operând pe baza modelului Ransomware-as-a-Service (RaaS), FunkSec aplică tactici de dublă extorcare – combinând criptarea datelor cu exfiltrarea acestora – vizând sectoare precum administrația publică, tehnologia, finanțele și educația din Europa și Asia. Ceea ce diferențiază gruparea este dependența puternică de instrumente asistate de AI, ransomware-ul lor conținând cod generat cu ajutorul inteligenței artificiale, însoțit de comentarii impecabile, cel mai probabil create cu modele lingvistice de mari dimensiuni (LLM), pentru a accelera dezvoltarea și a evita detectarea. Spre deosebire de majoritatea grupurilor ransomware care cer sume de ordinul milioanelor, FunkSec adoptă o abordare bazată pe volum mare și costuri reduse, solicitând răscumpărări neobișnuit de mici – o strategie ce subliniază și mai mult utilizarea inovatoare a AI pentru eficientizarea operațiunilor.

Modelul RaaS (Ransomware-as-a-Service) rămâne cadrul predominant pentru desfășurarea atacurilor ransomware, favorizând proliferarea acestora prin reducerea barierei tehnologice pentru infractorii cibernetici. În 2024, platforme RaaS precum RansomHub au prosperat oferind malware, suport tehnic și programe de afiliere care împart sumele obținute din răscumpărări. Acest model permite actorilor mai puțin experimentați să lanseze atacuri sofisticate, contribuind la apariția a numeroase noi grupări ransomware doar în cursul anului 2024.

În 2025, se preconizează că ransomware-ul va evolua prin exploatarea unor vulnerabilități neconvenționale, așa cum a demonstrat gruparea Akira, care a folosit o cameră web pentru a ocoli sistemele de detectare și răspuns la nivelul terminalelor (EDR) și a pătrunde în rețelele interne. Atacatorii vor viza tot mai mult puncte de intrare neglijate, precum dispozitivele IoT, electrocasnicele inteligente sau componente hardware configurate greșit în mediile de lucru, profitând de extinderea ariei de atac generată de sistemele interconectate. Pe măsură ce organizațiile își consolidează metodele tradiționale de apărare, infractorii cibernetici își vor rafina tacticile, concentrându-se pe urmărire discretă și mișcări laterale în rețele, pentru a lansa atacuri ransomware cu o precizie sporită, ceea ce va îngreuna semnificativ detectarea și reacția la timp din partea apărătorilor.

Proliferarea modelelor lingvistice de mari dimensiuni (LLM) destinate criminalității cibernetice va amplifica și mai mult amploarea și impactul ransomware-ului. LLM-urile comercializate pe dark web reduc bariera tehnică pentru crearea de cod malware, campanii de phishing și atacuri de inginerie socială, permițând chiar și actorilor mai puțin experimentați să creeze capcane extrem de convingătoare sau să automatizeze distribuirea ransomware-ului. Pe măsură ce concepte inovatoare precum RPA (Robotic Process Automation) și LowCode – care oferă o interfață vizuală intuitivă și asistată de AI pentru dezvoltarea rapidă a software-ului – sunt rapid adoptate de dezvoltatorii de software, ne putem aștepta ca dezvoltatorii de ransomware să folosească aceste instrumente pentru a automatiza atacurile, precum și pentru a dezvolta noi coduri, făcând amenințarea ransomware-ului și mai răspândită.

„Ransomware-ul este una dintre cele mai presante amenințări cibernetice cu care se confruntă organizațiile astăzi, atacatorii vizând afaceri de toate dimensiunile și din toate regiunile. În raportul nostru, evidențiem o migrare îngrijorătoare către exploatarea unor puncte de intrare neglijate — inclusiv dispozitive IoT, electrocasnice inteligente și hardware de birou configurat greșit sau învechit. Aceste puncte slabe sunt adesea nemonitorizate, făcându-le ținte ideale pentru infractorii cibernetici. Pentru a rămâne în siguranță, organizațiile au nevoie de o apărare stratificată: sisteme actualizate, segmentarea rețelelor, monitorizare în timp real, copii de siguranță robuste și educație continuă pentru utilizatori. Informarea cu privire la pericolele cibernetice la toate nivelurile este la fel de importantă ca și investiția în tehnologia potrivită,” spune Marc Rivero, Lead Security Researcher la GReAT Kaspersky.

Citiți raportul pe Securelist.com pentru mai multe informații despre tendințele ransomware în 2025.

 

Kaspersky încurajează organizațiile să urmeze aceste bune practici pentru a se proteja împotriva ransomware-ului:

• Activează protecția împotriva ransomware-ului pentru toate punctele finale. Kaspersky oferă un instrument gratuit Kaspersky Anti-Ransomware Tool for Business care protejează calculatoarele și serverele de ransomware și alte tipuri de malware, previne exploatarea vulnerabilităților și este compatibil cu soluțiile de securitate deja instalate.
• Păstrează software-ul actualizat pe toate dispozitivele pe care le folosești pentru a preveni ca atacatorii să exploateze vulnerabilitățile și să pătrundă în rețeaua ta.
• Concentrează-ți strategia de apărare pe detectarea mișcărilor laterale și a exfiltrării datelor către internet. Acordă o atenție deosebită traficului de ieșire pentru a detecta conexiunile infractorilor cibernetici la rețeaua ta. Configurează copii de siguranță offline pe care intrușii nu le pot modifica. Asigură-te că le poți accesa rapid atunci când este necesar sau în caz de urgență.
• Instalează soluții anti-APT și EDR, activând capabilități pentru descoperirea și detectarea amenințărilor avansate, investigarea și remedierea în timp util a incidentelor. Oferă echipei SOC acces la cele mai recente informații despre amenințări și instruiește-le periodic cu traininguri profesionale. Toate acestea sunt disponibile în cadrul Kaspersky Expert Security.
• Folosește informațiile cele mai recente despre  Threat Intelligence pentru a fi la curent cu tacticile, tehnicile și procedurile (TTP-urile) utilizate de actorii amenințărilor.
• Pentru a proteja compania împotriva unei game largi de amenințări, utilizează soluții din linia de produse Kaspersky Next, care oferă protecție în timp real, vizibilitate asupra amenințărilor, capabilități de investigare și răspuns EDR și XDR pentru organizații de orice dimensiune și industrie. În funcție de nevoile și resursele tale, poți alege cel mai relevant produs și să migrezi ușor la altul, dacă cerințele tale de securitate cibernetică se schimbă.