Ransomware roste s využitím AI a agentů

Od Brazílie po Spojené státy, Spojené království po Evropskou unii vstoupil ransomware do poloviny dekády jako typ paralelního boje proti zločinu: organizuje se jako služba, outsourcuje kroky a využívá závislosti společností a vlád na připojené systémy Novinkou není samotné šifrování, ale spíše to, jak se vydírání kombinuje s rychlejšími operacemi, s větším množstvím ukradených dat a rostoucím využíváním umělé inteligence ke snížení nákladů a zvýšení dosahu.

Zpráva Threat Landscape 2025, kterou zveřejnila agentura ENISA „agentura EU pro kybernetickou bezpečnost, zařadila umělou inteligenci mezi určující prvky současného prostředí hrozeb. Zpráva zdůrazňuje, že phishingové kampaně podporované umělou inteligencí začaly představovat většinu podíl iniciativ sociálního inženýrství pozorovaných v loňském roce. Praktický dopad je přímý: přesvědčivější texty, jazykové přizpůsobení profilu obětí, automatizace přístupových testů a snížení provozních nákladů útoku.

AI plně nenahrazuje lidského operátora v ransomware, ale snižuje úsilí v krocích, které historicky vyžadovaly čas a manuální zručnost Jazykové modely se používají k výrobě vysoce personalizovaných e-mailů, analyzují exfiltrovaná data, aby identifikovaly citlivé informace s větším potenciálem pro tlak a podporují výzkum zranitelnosti. Národní centrum kybernetické bezpečnosti ve Velké Británii již varovalo, že AI má tendenci zvyšovat efektivitu, frekvenci a rozsah stávajících taktik, zejména v asistovaném rozpoznávání a využívání.

Role agentů AI

Nejcitlivější pokrok je však v použití architektur založených na agentech Na rozdíl od modelu pouze s textem jsou agenti systémy schopné plánovat úkoly, provádět volání externích nástrojů, interagovat s API a udržovat kontext v několika krocích Při aplikaci v legitimních podnikových prostředích tito agenti automatizují interní procesy, integrují systémy a snižují provozní tření Z ofenzivního hlediska lze stejnou logiku použít ke koordinaci distribuovaných akcí.

Strukturovaný útok může zahrnovat agenta, který se věnuje shromažďování veřejných a interních informací, další zaměřený na ověřování pověření a využívání nadměrných oprávnění a třetí stranu odpovědnou za provozování rozhraní API cloudových služeb pro mapování zdrojů, tokenů a přístupových klíčů. Z počátečního narušení automatizace urychluje boční pohyb a exfiltraci. 

V Brazílii již výstrahy CTIR Gov od roku 2022 popisují zrání skupin, jako je BlackCat/ALPHV, fungující s technikami laterálního pohybu a přizpůsobeným šifrováním. Co se nyní mění, je další vrstva inteligentní automatizace, která se přidala k rostoucímu firemnímu přijetí integrací založených na API, účtech služeb a automatizovaných tocích.

Tato konvergence rozšiřuje rizikový povrch Každá integrace přidává pověření, tokeny a oprávnění Každý podnikový agent s provozní autonomií představuje novou strojovou identitu Pokud je kompromitován, mohou tyto prvky jednat v rámci prostředí se zjevnou legitimitou Vyšetřování přestává žádat pouze queem přístup k pen a začíná zpochybňovat (z), který systém provedl určitou akci a pod kterým řetězcem rozhodnutí se prosazuje.

Z technického hlediska vyžaduje reakce na tyto nové hrozby architektonickou revizi Prioritou se stávají modely nulové důvěry, granulární segmentace a přísná kontrola identit strojů Správa privilegií musí zahrnovat účty služeb a automatizované integrace Protokoly musí být centralizovány a chráněny před neoprávněnou manipulací, což umožňuje analýzu chování založenou na sekvencích událostí a nikoli pouze na izolovaných výstrahách.

Neměnné zálohy zůstávají klíčovým opatřením proti šifrování, ale neřeší reputační rozměr vydírání úniků. Součástí strategického plánování je nyní nepřetržité monitorování exfiltrace a jasné zásady reakce na incidenty.

Přijetí umělé inteligence ve firmách není samo o sobě problémem Naopak může posílit detekci a reakci při strukturovaném uplatnění Riziko vzniká, když agenti operují s nadměrnými oprávněními, integrace jsou realizovány bez adekvátního inventáře a automatizovaná rozhodnutí nemají auditovatelnou stopu.

Ransomware se vyvinul z technického útoku na strukturovaný ekonomický model. Začlenění umělé inteligence a autonomních agentů tuto logiku urychluje, snižuje náklady pro zločince a zvyšuje složitost pro společnosti, které potřebují udržovat své obranné strategie aktuální. Strategickou prioritou je řídit identity, API a algoritmy se stejnou přísností jako u fyzických a finančních aktiv.

Společnosti, které zacházejí s agenty a automatizacemi jako s ústřední součástí rizikové architektury, budou mít lepší pozici, aby se vypořádaly s další vlnou. Ti, kteří vidí AI pouze jako nástroj produktivity, mohou příliš pozdě zjistit, že nekontrolovaná autonomie rozšiřuje expozici tiše, ale rozhodně.