Ransomware vokser med bruk av AI og agenter

Fra Brasil til USA, Storbritannia til EU, gikk ransomware inn i midten av tiåret som en type parallell“-kriminalitet ”: den organiserer seg som en tjeneste, outsourcer trinn og utnytter avhengigheten av selskaper og myndigheter på tilkoblede systemer Nyheten er ikke kryptering i seg selv, men heller hvordan utpressing kombineres med raskere operasjoner, med mer stjålne data og den økende bruken av kunstig intelligens for å redusere kostnader og øke rekkevidden.

Threat Landscape 2025-rapporten, publisert av ENISA 'EU-byrået for cybersikkerhet'OE, rangerte kunstig intelligens som et av de definerende elementene i det nåværende trusselbildet. Rapporten fremhever at AI-støttede phishing-kampanjer har kommet til å representere en majoritetsandel av de sosiale ingeniørinitiativene som ble observert i fjor. Den praktiske virkningen er direkte: mer overbevisende tekster, språktilpasning til offerprofilen, automatisering av tilnærmingstester og reduksjon av driftskostnadene ved angrepet.

AI erstatter ikke den menneskelige operatøren i løsepengevare fullt ut, men den reduserer innsatsen i trinn som historisk sett krevde tid og manuelle ferdigheter. Språkmodeller brukes til å produsere svært personlige e-poster, analysere eksfiltrerte data for å identifisere sensitiv informasjon med større potensial for press og støtte sårbarhetsforskning. National Cyber Security Centre, Storbritannia, har allerede advart om at AI har en tendens til å øke effektiviteten, frekvensen og omfanget av eksisterende taktikk, spesielt i anerkjennelse og assistert utnyttelse.

Rollen til AI-agenter

Det mest følsomme fremskrittet er imidlertid i bruken av agentbaserte arkitekturer, I motsetning til en tekstmodell er agenter systemer som er i stand til å planlegge oppgaver, utføre anrop til eksterne verktøy, samhandle med APIer og opprettholde kontekst over flere trinn. Når de brukes i legitime bedriftsmiljøer, automatiserer disse agentene interne prosesser, integrerer systemer og reduserer operasjonell friksjon. Fra et offensivt perspektiv kan den samme logikken brukes til å koordinere distribuerte handlinger.

Et strukturert angrep kan involvere en agent dedikert til å samle inn offentlig og intern informasjon, en annen fokusert på legitimasjonsvalidering og utnyttelse av overdrevne tillatelser, og en tredjepart som er ansvarlig for å betjene skytjeneste-APIer for å kartlegge ressurser, tokens og tilgangsnøkler. Fra den første inntrengingen, automatisering akselererer sideveis bevegelse og eksfiltrering. 

I Brasil har CTIR Gov-varsler allerede siden 2022 beskrevet modningen av grupper som BlackCat/ALPHV, som opererer med sidebevegelsesteknikker og tilpasset kryptering. Det som nå endres er det ekstra laget av intelligent automatisering, lagt til den økende bedriftsadopsjonen av integrasjoner basert på APIer, tjenestekontoer og automatiserte strømmer.

Denne konvergensen utvider risikooverflaten.Hver integrasjon legger til legitimasjon, tokens og tillatelser.Hver bedriftsagent med operasjonell autonomi representerer en ny maskinidentitet.Hvis de kompromitteres, kan disse elementene handle med tilsynelatende legitimitet i miljøet. Etterforskningen slutter å spørre bare “quem accessed” og begynner å stille spørsmål ved “which-systemet utførte en bestemt handling og under hvilken kjede av beslutninger”.

Fra et teknisk synspunkt krever det arkitektonisk gjennomgang å svare på disse nye truslene. Null tillitsmodeller, granulær segmentering og streng kontroll av maskinidentiteter blir en prioritet. Privilegeadministrasjon må inkludere tjenestekontoer og automatiserte integrasjoner. Logger må sentraliseres og beskyttes mot tukling, noe som tillater atferdsanalyse basert på hendelsessekvenser og ikke bare isolerte varsler.

Uforanderlige sikkerhetskopier er fortsatt et nøkkeltiltak mot kryptering, men de tar ikke for seg omdømmedimensjonen ved lekkasjeutpressing. Kontinuerlig eksfiltreringsovervåking og klare retningslinjer for hendelsesrespons er nå en del av strategisk planlegging.

Adopsjon av kunstig intelligens i bedrifter er ikke i seg selv problemet Tvert imot kan det styrke deteksjon og respons når det brukes på en strukturert måte. Risikoen oppstår når agenter opererer med overdrevne tillatelser, integrasjoner implementeres uten tilstrekkelig inventar og automatiserte beslutninger har ingen reviderbar spor.

Ransomware har utviklet seg fra et teknisk angrep til en strukturert økonomisk modell. Inkorporeringen av AI og autonome agenter akselererer denne logikken, reduserer kostnadene for kriminelle og øker kompleksiteten for selskaper som trenger å holde forsvarsstrategiene oppdatert. Den strategiske prioriteringen er å styre identiteter, APIer og algoritmer med samme strenghet som brukes på fysiske og finansielle eiendeler.

Selskaper som behandler agenter og automatiseringer som en sentral del av risikoarkitekturen vil være bedre posisjonert til å takle neste bølge. De som ser på AI bare som et produktivitetsverktøy, kan finne for sent at ukontrollert autonomi stille, men avgjørende forstørrer eksponeringen.