Analiză ESET: Atacurile ransomware devin tot mai sofisticate și mai greu de detectat în 2026

Atacurile ransomware continuă să escaladeze la nivel global, devenind una dintre cele mai serioase amenințări de securitate cibernetică pentru companii și instituții. Potrivit celui mai recent raport ESET, anul 2025 a înregistrat peste 6.900 de victime raportate, cu aproximativ 40% mai multe decât în 2024. ectoare precum construcțiile, sănătatea și tehnologia s-au numărat printre cele mai afectate, iar impactul financiar a fost semnificativ. Un exemplu relevant este incidentul care a afectat Jaguar Land Rover, unde producția globală a fost blocată, generând pierderi estimate la 2,5 miliarde USD.

Noi actori și tactici emergente 

Pe lângă creșterea volumului de atacuri, ecosistemul ransomware a suferit transformări importante. Gruparea RansomHub, anterior lider de piață, a fost înlăturată de un competitor, iar Qilin a devenit principalul actor în zona ransomware-as-a-service (RaaS), urmat de Akira. Un element surprinzător este apariția grupării Warlock – un actor discret, dar extrem de activ și avansat tehnic. Analizele arată că Warlock utilizează instrumente legitime precum Velociraptor și Visual Studio Code pentru a crea conexiuni remote ascunse, ceea ce face detectarea mult mai dificilă.

Pentru o analiză detaliată, poți consulta gratuit ghidul anti-ransomware ESET 2026.

Instrumente de tip EDR killer și metode de ocolire

Atacatorii moderni nu mai depind doar de vulnerabilități clasice, ci dezvoltă unelte dedicate pentru neutralizarea soluțiilor de securitateÎn 2025, programele de tip „EDR killer” au devenit tot mai frecvente, fiind utilizate pentru dezactivarea mecanismelor de detecție și răspuns. Metoda dominantă rămâne BYOVD (Bring Your Own Vulnerable Driver), care permite rularea la nivel de kernel și eliminarea protecțiilor active. Însă o metodă mult mai discretă este demonstrată de un instrument denumit „EDR-Freeze”, care permite ocolirea soluțiilor de securitate direct din modul utilizator, prin intermediul sistemului Windows Error Reporting (WER) de la Microsoft. Tehnica elimină necesitatea unui driver vulnerabil și pune agenții de securitate EDR într-o stare de hibernare. Potrivit experţilor, trendul va continua în 2026: aceste programe de tip „EDR killer” vor rămâne în arsenalul infractorilor cibernetici, și cu siguranță vor fi însoțite de apariții noi în campaniile viitoare. 

Ca modalități de prevenție, specialiștii recomandă activarea în soluțiile de protecție a detecției programelor potențial nedorite (PUA), astfel încât instalarea driverelor vulnerabile să fie oprită din start. 

Inteligența Artificială – un nou vector de atac

Inteligența Artificială devine tot mai mult un aliat al infractorilor cibernetici, aceștia având dintotdeauna o apetență ridicată în adoptarea și utilizarea celor mai noi tehnologii. Un exemplu ilustrativ este ransomware-ul PromptLock, descoperit de ESET în 2025 ca fiind primul malware care încorporează un model AI local. PromptLock generează în timp real scripturi malițioase pe baza unui model de limbaj (LLM) și analizează automat fișierele victimei pentru a decide dacă le criptează sau le exfiltrează. Deși în cazul PromptLock a fost vorba de un simplu proof-of-concept realizat și publicat liber de o echipă de cadre universitare de la NYU, el demonstrează că Inteligența Artificială poate „facilita dramatic” efectuarea de atacuri sofisticate și poate complica semnificativ detecția acestora. 

Aceste constatări se aliniază și observațiilor experților Google, de exemplu, care evidențiază existența deja a unor pachete malware experimentale precum PromptFlux și PromptSteal, care folosesc modele LLM pentru a genera cod malițios la cerere și a-şi reconfigura comportamentul dinamic. De asemenea, s-au raportat amenințări precum QuietVault, un malware ce fură credenţiale (token-uri GitHub/NPM) și apoi folosește prompturi AI și tool-uri locale pentru a căuta automat alte secrete pe sistemul compromis și a le exfiltra. Atacatorii chiar reușesc să „păcălească” barierele de siguranță ale AI-ului prin inginerie socială avansată, formulând interogări ca și cum ar fi cercetători sau studenți, pentru a convinge modelele AI să genereze cod malițios ocolind filtrele de protecție.  

De aceea în 2026, ne putem aştepta ca atacurile asistate de Inteligența Artificială să crească în complexitate, devenind tot mai greu de detectat pe măsură ce malware-ul devine autoadaptabil. 

ESET pune la dispoziție un raport detaliat ce include recomandări utile pentru consolidarea securității organizaționale și pentru reacția eficientă în cazul în care un atac ransomware reușește să treacă de măsurile de apărare. Puteți accesa ghidul complet ESET pentru protecție avansată aici.

Recomandări pentru protecție în 2026

Pentru acest an, experții recomandă întărirea măsurilor de securitate de bază prin câțiva pași simpli: 

• Actualizarea la zi a sistemelor și aplicațiilor prin instalarea patch-urilor de securitate disponibile și verificarea periodică pentru vulnerabilitățile cunoscute. 

• Activarea autentificării multifactor (2FA) oriunde este posibil, cu atenție în special la servicii de acces de la distanță (de exemplu RDP, VPN). 

• Folosirea de soluții de securitate endpoint robuste, dublate de capabilități EDR 

• Configurarea detecției pentru aplicațiile potențial nedorite (PUA) pentru blocarea eventualelor instrumente malițioase de tip “EDR killer”. 

• Efectuarea de backup regulat al datelor și stocarea offline sau într-un mediu separat, imuabil. 

• Educarea angajaților prin sesiuni de conștientizare privind atacurile de phishing, vishing și alte metode de inginerie socială. 

Soluții ESET pentru prevenirea atacurilor

ESET oferă soluții de securitate digitală de ultimă generație, dezvoltate pentru a anticipa și a preveni atacurile informatice înainte ca acestea să devină reale. Noua funcționalitate Ransomware Remediation, integrată în soluțiile ESET, este o tehnologie proprietară care ajută la restaurarea automată a fișierelor criptate în cazul în care ransomware-ul este detectat într-un stadiu ulterior al atacului, după ce procesul de criptare a început deja. Pentru organizațiile care au nevoie de un nivel superior de protecție, soluțiile ESET MDR adaugă un strat critic de securitate, combinând monitorizarea continuă 24/7 cu expertiza analiștilor ESET. Prin utilizarea capabilităților XDR, corelarea evenimentelor și răspuns activ la incidente, MDR permite identificarea și blocarea atacurilor avansate în faze incipiente, inclusiv a celor care evită detecția clasică. Soluțiile de securitate ESET sunt disponibile oricând pentru descărcare și testare gratuită și pot fi solicitate aici.

Prin integrarea expertizei umane cu puterea Inteligenței Artificiale, ESET rămâne în avangarda protecției împotriva amenințărilor cibernetice emergente și a celor deja cunoscute, asigurând securitatea companiilor, infrastructurilor critice și utilizatorilor individuali. Indiferent de tipul de protecție necesar – endpoint, cloud sau mobile – soluțiile cloud-first, bazate pe AI sunt atât eficiente, cât și ușor de utilizat. În completarea apărării în timp real, 24/7, ESET oferă și suport localizat eficient (inclusiv în România), angajându-se activ în cercetarea celor mai noi amenințări prin centrele proprii R&D, inclusiv cel din Iași, și printr-o rețea globală extinsă de parteneri.