Ransomware rastie s využitím AI a agentov

Od Brazílie po Spojené štáty, Spojené kráľovstvo po Európsku úniu, ransomware vstúpil do polovice desaťročia ako typ paralelného“-zločinu ”: organizuje sa ako služba, outsourcuje kroky a využíva závislosť firiem a vlád na prepojených systémoch Novinkou nie je samotné šifrovanie, ale skôr to, ako sa vydieranie spája s rýchlejšími operáciami, s väčším počtom ukradnutých dát a rastúcim využívaním umelej inteligencie na zníženie nákladov a zvýšenie dosahu.

Správa Threat Landscape 2025, ktorú zverejnila agentúra ENISA „agentúra EÚ pre kybernetickú bezpečnosť“ OE, zaradila umelú inteligenciu medzi definujúce prvky súčasného prostredia hrozieb. Správa zdôrazňuje, že phishingové kampane podporované AI začali predstavovať väčšinový podiel iniciatív sociálneho inžinierstva pozorovaných minulý rok. Praktický vplyv je priamy: presvedčivejšie texty, jazykové prispôsobenie profilu obete, automatizácia testov prístupu a zníženie prevádzkových nákladov útoku.

AI nenahrádza v plnej miere ľudského operátora v ransomware, ale znižuje úsilie v krokoch, ktoré historicky vyžadovali čas a manuálnu zručnosť Jazykové modely sa používajú na vytváranie vysoko personalizovaných e-mailov, analýzu exfiltrovaných údajov na identifikáciu citlivých informácií s väčším potenciálom pre tlak a podporu výskumu zraniteľnosti Národné centrum kybernetickej bezpečnosti, Spojené kráľovstvo, už varovalo, že AI má tendenciu zvyšovať efektivitu, frekvenciu a rozsah existujúcich taktík, najmä pri asistovanom rozpoznávaní a využívaní.

Úloha agentov AI

Najcitlivejší pokrok je však v používaní architektúr založených na agentoch. Na rozdiel od modelu iba s textom sú agenti systémy schopné plánovať úlohy, vykonávať volania externých nástrojov, interagovať s rozhraniami API a udržiavať kontext vo viacerých krokoch. Keď sa tieto agenty aplikujú v legitímnych podnikových prostrediach, automatizujú interné procesy, integrujú systémy a znižujú prevádzkové trenie. Z ofenzívneho hľadiska možno rovnakú logiku použiť na koordináciu distribuovaných akcií.

Štruktúrovaný útok môže zahŕňať agenta, ktorý sa venuje zhromažďovaniu verejných a interných informácií, ďalšieho zameraného na overovanie poverení a využívanie nadmerných povolení a tretiu stranu zodpovednú za prevádzkovanie rozhraní API cloudových služieb na mapovanie zdrojov, tokenov a prístupových kľúčov. Automatizácia od počiatočného narušenia urýchľuje bočný pohyb a exfiltráciu. 

V Brazílii už výstrahy vlády CTIR popisujú od roku 2022 dozrievanie skupín, ako sú BlackCat/ALPHV, pracujúce s technikami laterálneho pohybu a prispôsobeným šifrovaním. Teraz sa mení ďalšia vrstva inteligentnej automatizácie, ktorá sa pridáva k rastúcemu firemnému prijímaniu integrácií založených na rozhraniach API, servisných účtoch a automatizovaných tokoch.

Táto konvergencia rozširuje rizikovú plochu Každá integrácia pridáva poverenia, tokeny a povolenia.Každý podnikový agent s prevádzkovou autonómiou predstavuje novú identitu stroja., Ak sú ohrozené, tieto prvky môžu v rámci prostredia konať so zjavnou legitimitou.vyšetrovanie sa prestane pýtať len “quem access” a začne sa pýtať “ktorý systém vykonal určitú akciu a v rámci ktorého reťazca rozhodnutí”.

Z technického hľadiska si reakcia na tieto nové hrozby vyžaduje architektonickú kontrolu. Prioritou sa stávajú modely nulovej dôvery, granulárna segmentácia a prísna kontrola identít strojov. Správa privilégií musí zahŕňať servisné účty a automatizované integrácie. Protokoly musia byť centralizované a chránené pred manipuláciou, čo umožňuje analýzu správania založenú na sekvenciách udalostí a nielen izolovaných upozorneniach.

Nemenné zálohy zostávajú kľúčovým opatrením proti šifrovaniu, ale neriešia reputačný rozmer vydierania únikov. Nepretržité monitorovanie exfiltrácie a jasné politiky reakcie na incidenty sú teraz súčasťou strategického plánovania.

Prijatie umelej inteligencie v spoločnostiach nie je samo osebe problémom. Naopak, môže posilniť detekciu a reakciu pri štruktúrovanom uplatňovaní. Riziko vzniká, keď agenti pracujú s nadmernými povoleniami, integrácie sa implementujú bez adekvátneho inventára a automatizované rozhodnutia nemajú žiadnu kontrolovateľnú stopu.

Ransomware sa vyvinul z technického útoku na štruktúrovaný ekonomický model. Začlenenie AI a autonómnych agentov urýchľuje túto logiku, znižuje náklady pre zločincov a zvyšuje zložitosť pre spoločnosti, ktoré potrebujú udržiavať svoje obranné stratégie aktuálne. Strategickou prioritou je riadiť identity, API a algoritmy s rovnakou prísnosťou aplikovanou na fyzické a finančné aktíva.

Spoločnosti, ktoré považujú agentov a automatizáciu za ústrednú súčasť architektúry rizík, budú mať lepšiu pozíciu na riešenie ďalšej vlny. Tí, ktorí vidia AI len ako nástroj produktivity, môžu zistiť príliš neskoro, že nekontrolovaná autonómia rozširuje expozíciu ticho, ale rozhodne.