Ransomware groeit met gebruik van AI en agenten

Van Brazilië tot de Verenigde Staten, het Verenigd Koninkrijk tot de Europese Unie, ransomware ging het midden van het decennium in als een soort parallel“-misdaad ”: het organiseert zichzelf als een dienst, besteedt stappen uit en exploiteert de afhankelijkheid van bedrijven en overheden van verbonden systemen De nieuwigheid is niet de encryptie zelf, maar eerder hoe afpersing zich combineert met snellere operaties, met meer gestolen data en het toenemende gebruik van kunstmatige intelligentie om de kosten te verlagen en het bereik te vergroten.

Het Threat Landscape 2025-rapport, gepubliceerd door ENISA 'het EU-agentschap voor cyberbeveiliging'OE, rangschikte kunstmatige intelligentie als een van de bepalende elementen van het huidige dreigingslandschap. Het rapport benadrukt dat door AI gesteunde phishing-campagnes een meerderheidsaandeel zijn gaan vertegenwoordigen van de vorig jaar waargenomen social engineering-initiatieven. De praktische impact is direct: overtuigendere teksten, taalaanpassing aan het slachtofferprofiel, automatisering van aanpaktests en verlaging van de operationele kosten van de aanval.

AI vervangt de menselijke operator in ransomware niet volledig, maar vermindert de inspanning in stappen die historisch gezien tijd en handvaardigheid vereisten Taalmodellen worden gebruikt om zeer gepersonaliseerde e-mails te produceren, geëxfiltreerde gegevens te analyseren om gevoelige informatie met een groter potentieel voor druk te identificeren en kwetsbaarheidsonderzoek te ondersteunen. Het National Cyber Security Centre, VK, heeft al gewaarschuwd dat AI de neiging heeft de efficiëntie, frequentie en schaal van bestaande tactieken te vergroten, vooral bij geassisteerde herkenning en exploitatie.

De rol van AI-agenten

De meest gevoelige vooruitgang is echter het gebruik van agent-gebaseerde architecturen, In tegenstelling tot een tekst-only model, agenten zijn systemen in staat om taken te plannen, het uitvoeren van oproepen naar externe tools, interactie met API's en het handhaven van de context over meerdere stappen Wanneer toegepast in legitieme bedrijfsomgevingen, deze agenten automatiseren interne processen, integreren systemen en verminderen operationele wrijving Vanuit een offensief perspectief, kan dezelfde logica worden gebruikt om gedistribueerde acties te coördineren.

Bij een gestructureerde aanval kan een agent betrokken zijn die zich toelegt op het verzamelen van openbare en interne informatie, een andere die zich richt op de validatie van inloggegevens en het exploiteren van buitensporige machtigingen, en een derde partij die verantwoordelijk is voor het exploiteren van cloudservice-API's om bronnen, tokens en toegangssleutels in kaart te brengen. Vanaf de eerste inbraak versnelt automatisering de zijdelingse beweging en exfiltratie. 

In Brazilië hebben CTIR Gov-waarschuwingen sinds 2022 al de rijping beschreven van groepen zoals BlackCat/ALPHV, die werken met laterale bewegingstechnieken en aangepaste encryptie. Wat nu verandert is de extra laag van intelligente automatisering, toegevoegd aan de groeiende acceptatie door bedrijven van integraties op basis van API's, serviceaccounts en geautomatiseerde stromen.

Deze convergentie breidt het risicooppervlak uit Elke integratie voegt inloggegevens, tokens en machtigingen toe Elke bedrijfsagent met operationele autonomie vertegenwoordigt een nieuwe machine-identiteit Indien gecompromitteerd, kunnen deze elementen met schijnbare legitimiteit binnen de omgeving werken Het onderzoek stopt met het vragen van alleen “ en begint vragen te stellen welk systeem een bepaalde actie heeft uitgevoerd en onder welke keten van beslissingen”.

Vanuit technisch oogpunt vereist het reageren op deze nieuwe bedreigingen architecturale beoordeling Zero trust-modellen, granulaire segmentatie en strikte controle van machine-identiteiten worden een prioriteit Privilegebeheer moet servicerekeningen en geautomatiseerde integraties omvatten Logboeken moeten worden gecentraliseerd en beschermd tegen manipulatie, waardoor gedragsanalyse mogelijk is op basis van reeksen gebeurtenissen en niet alleen geïsoleerde waarschuwingen.

Onveranderlijke back-ups blijven een belangrijke maatregel tegen encryptie, maar ze gaan niet in op de reputatiedimensie van lekafpersing. Continue exfiltratiemonitoring en een duidelijk incidentresponsbeleid maken nu deel uit van de strategische planning.

De adoptie van kunstmatige intelligentie in bedrijven is op zichzelf niet het probleem Integendeel, het kan de detectie en respons versterken wanneer het op een gestructureerde manier wordt toegepast. Het risico ontstaat wanneer agenten met buitensporige machtigingen werken, integraties worden geïmplementeerd zonder adequate inventarisatie en geautomatiseerde beslissingen geen controleerbaar spoor hebben.

Ransomware is geëvolueerd van een technische aanval naar een gestructureerd economisch model. De integratie van AI en autonome agenten versnelt deze logica, verlaagt de kosten voor criminelen en vergroot de complexiteit voor bedrijven, die hun defensiestrategieën up-to-date moeten houden. De strategische prioriteit is om identiteiten, API's en algoritmen te besturen met dezelfde nauwkeurigheid toegepast op fysieke en financiële activa.

Bedrijven die agenten en automatiseringen als een centraal onderdeel van de risicoarchitectuur behandelen, zullen beter gepositioneerd zijn om de volgende golf aan te pakken Degenen die AI alleen als een productiviteitsinstrument zien, kunnen te laat vinden dat ongecontroleerde autonomie de blootstelling stilletjes, maar beslissend verlengt.