Ransomware-ul crește odată cu utilizarea AI și a agenților

Din Brazilia în Statele Unite, Regatul Unit în Uniunea Europeană, ransomware-ul a intrat la mijlocul deceniului ca un tip de paralelitudine-crimă “: se organizează ca un serviciu, externalizează pașii și exploatează dependența companiilor și guvernelor de sistemele conectate. Noutatea nu este criptarea în sine, ci mai degrabă modul în care extorcarea se combină cu operațiuni mai rapide, cu mai multe date furate și utilizarea tot mai mare a inteligenței artificiale pentru a reduce costurile și a crește acoperirea.

Raportul Threat Landscape 2025, publicat de ENISA „agenția UE pentru securitate cibernetică“ OE, a clasat inteligența artificială drept unul dintre elementele definitorii ale peisajului actual al amenințărilor. Raportul subliniază că campaniile de phishing susținute de AI au ajuns să reprezinte o cotă majoritară a inițiativele de inginerie socială observate anul trecut. Impactul practic este direct: texte mai convingătoare, adaptarea limbajului la profilul victimei, automatizarea testelor de abordare și reducerea costului operațional al atacului.

AI nu înlocuiește pe deplin operatorul uman în ransomware, dar reduce efortul în pași care au necesitat istoric timp și abilități manuale. Modelele de limbaj sunt folosite pentru a produce e-mailuri extrem de personalizate, pentru a analiza date exfiltrate pentru a identifica informații sensibile cu un potențial mai mare de presiune și pentru a sprijini cercetarea vulnerabilității. Centrul Național de Securitate Cibernetică, Marea Britanie, a avertizat deja că AI tinde să crească eficiența, frecvența și amploarea tacticilor existente, în special în recunoașterea și exploatarea asistată.

Rolul agenților AI

Cel mai sensibil progres este însă în utilizarea arhitecturilor bazate pe agenți. Spre deosebire de un model doar text, agenții sunt sisteme capabile să planifice sarcini, să execute apeluri către instrumente externe, să interacționeze cu API-uri și să mențină contextul pe mai mulți pași. Când sunt aplicați în medii corporative legitime, acești agenți automatizează procesele interne, integrează sisteme și reduc fricțiunea operațională. dintr-o perspectivă ofensivă, aceeași logică poate fi folosită pentru a coordona acțiunile distribuite.

Un atac structurat poate implica un agent dedicat colectării de informații publice și interne, un altul axat pe validarea acreditărilor și exploatarea permisiunilor excesive și o terță parte responsabilă cu operarea API-urilor de servicii cloud pentru a mapa resurse, jetoane și chei de acces. De la intruziunea inițială, automatizarea accelerează mișcarea laterală și exfiltrarea. 

În Brazilia, alertele CTIR Gov au descris deja din 2022 maturizarea unor grupuri precum BlackCat/ALPHV, care operează cu tehnici de mișcare laterală și criptare personalizată. Ceea ce se schimbă acum este stratul suplimentar de automatizare inteligentă, adăugat la adoptarea în creștere a integrărilor bazate pe API-uri, conturi de servicii și fluxuri automate.

Această convergenţă extinde suprafaţa de risc.fiecare integrare adaugă acreditări, token-uri şi permisiuni.fiecare agent corporativ cu autonomie operaţională reprezintă o nouă identitate de maşină.dacă este compromisă, aceste elemente pot acţiona cu o legitimitate aparentă în cadrul mediului.investigaţia încetează să mai întrebe doar “quem accessed” şi începe să pună sub semnul întrebării “ce sistem a efectuat o anumită acţiune şi sub ce lanţ de decizii”.

Din punct de vedere tehnic, răspunsul la aceste noi amenințări necesită o revizuire arhitecturală. modelele de încredere zero, segmentarea granulară și controlul strict al identităților mașinilor devin o prioritate. managementul privilegiilor trebuie să includă conturi de servicii și integrări automate. jurnalele trebuie să fie centralizate și protejate împotriva falsificării, permițând analiza comportamentală bazată pe secvențe de evenimente și nu doar alerte izolate.

Backup-urile imuabile rămân o măsură cheie împotriva criptării, dar nu abordează dimensiunea reputațională a extorcării scurgerilor. Monitorizarea continuă a exfiltrării și politicile clare de răspuns la incidente fac acum parte din planificarea strategică.

Adoptarea inteligenței artificiale în companii nu este, în sine, problema. dimpotrivă, poate consolida detectarea și răspunsul atunci când sunt aplicate într-un mod structurat.riscul apare atunci când agenții operează cu permisiuni excesive, integrările sunt implementate fără un inventar adecvat și deciziile automate nu au o pistă auditabilă.

Ransomware-ul a evoluat de la un atac tehnic la un model economic structuratIncorporarea AI si a agentilor autonomi accelereaza aceasta logica, reduce costurile pentru infractori, si creste complexitatea pentru companii, care au nevoie sa-si mentina strategiile de aparare la ziPrioritatea strategica este de a guverna identitatile, API-urile si algoritmii cu aceeasi rigoare aplicata activelor fizice si financiare.

Companiile care tratează agenții și automatizările ca pe o parte centrală a arhitecturii de risc vor fi mai bine poziționate pentru a aborda următorul val. Cei care văd AI doar ca pe un instrument de productivitate pot găsi prea târziu că autonomia necontrolată extinde expunerea în liniște, dar decisiv.