Ransomware växer med användning av AI och agenter

Från Brasilien till USA, Storbritannien till Europeiska unionen, ransomware gick in i mitten av decenniet som en typ av parallell“-brott ”: det organiserar sig som en tjänst, outsourcar steg och utnyttjar beroendet av företag och regeringar på anslutna system Nyheten är inte kryptering i sig, utan snarare hur utpressning kombineras med snabbare operationer, med mer stulen data och den ökande användningen av artificiell intelligens för att minska kostnaderna och öka räckvidden.

Threat Landscape 2025-rapporten, publicerad av ENISA "EU-byrån för cybersäkerhet" OE, rankade artificiell intelligens som en av de definierande delarna av det nuvarande hotlandskapet. Rapporten belyser att AI-stödda nätfiskekampanjer har kommit att representera en majoritetsandel av de sociala ingenjörsinitiativ som observerades förra året. Den praktiska effekten är direkt: mer övertygande texter, språkanpassning till offerprofilen, automatisering av inflygningstester och minskning av attackens driftskostnader.

AI ersätter inte helt den mänskliga operatören i ransomware, men det minskar ansträngningen i steg som historiskt krävde tid och manuell skicklighet. Språkmodeller används för att producera mycket personliga e-postmeddelanden, analysera exfiltrerad data för att identifiera känslig information med större potential för tryck och stödja sårbarhetsforskning. National Cyber Security Centre, Storbritannien, har redan varnat för att AI tenderar att öka effektiviteten, frekvensen och omfattningen av befintlig taktik, särskilt när det gäller erkännande och assisterad exploatering.

AI-agenternas roll

Det känsligaste framstegen är dock i användningen av agentbaserade arkitekturer Till skillnad från en modell som endast innehåller text är agenter system som kan planera uppgifter, utföra anrop till externa verktyg, interagera med API: er och upprätthålla kontext över flera steg.När de tillämpas i legitima företagsmiljöer automatiserar dessa agenter interna processer, integrerar system och minskar operativ friktion.Ur ett offensivt perspektiv kan samma logik användas för att koordinera distribuerade åtgärder.

En strukturerad attack kan involvera en agent dedikerad till att samla in offentlig och intern information, en annan fokuserad på autentiseringsvalidering och utnyttjande av överdrivna behörigheter, och en tredje part som ansvarar för att driva molntjänst-API:er för att kartlägga resurser, tokens och åtkomstnycklar. Från det första intrånget, automatisering påskyndar sidorörelser och exfiltrering. 

I Brasilien har CTIR Gov-varningar redan beskrivit sedan 2022 mognaden av grupper som BlackCat/ALPHV, som arbetar med sidorörelsetekniker och anpassad kryptering. Det som förändras nu är det extra lagret av intelligent automatisering, som läggs till den växande företagsantagandet av integrationer baserade på API:er, tjänstekonton och automatiserade flöden.

Denna konvergens utökar riskytan.Varje integration lägger till referenser, tokens och behörigheter.Varje företagsagent med operativ autonomi representerar en ny maskinidentitet.Om de äventyras kan dessa element agera med uppenbar legitimitet inom miljön.Undersökningen slutar fråga endast “quem accessed” och börjar ifrågasätta “vilket system utförde en viss åtgärd och under vilken kedja av beslut”.

Ur teknisk synvinkel kräver att svara på dessa nya hot arkitektonisk granskning. Nollförtroendemodeller, granulär segmentering och strikt kontroll av maskinidentiteter blir en prioritet. Privilegiehantering måste inkludera tjänstekonton och automatiserade integrationer. Loggar måste centraliseras och skyddas från manipulering, vilket möjliggör beteendeanalys baserad på händelseförlopp och inte bara isolerade varningar.

Oföränderliga säkerhetskopior förblir en nyckelåtgärd mot kryptering, men de tar inte upp anseendedimensionen av läckageutpressning. Kontinuerlig exfiltreringsövervakning och tydliga incidentresponspolicyer är nu en del av strategisk planering.

Antagandet av artificiell intelligens i företag är inte i sig problemet Tvärtom kan det stärka upptäckt och respons när det tillämpas på ett strukturerat sätt Risken uppstår när agenter opererar med överdrivna behörigheter, integrationer implementeras utan adekvat inventering och automatiserade beslut har inget granskningsbart spår.

Ransomware har utvecklats från en teknisk attack till en strukturerad ekonomisk modell. Inkorporeringen av AI och autonoma agenter accelererar denna logik, minskar kostnaderna för brottslingar och ökar komplexiteten för företag, som behöver hålla sina försvarsstrategier uppdaterade. Den strategiska prioriteringen är att styra identiteter, API:er och algoritmer med samma noggrannhet som tillämpas på fysiska och finansiella tillgångar.

Företag som behandlar agenter och automatiseringar som en central del av riskarkitekturen kommer att vara bättre positionerade för att tackla nästa våg. De som bara ser AI som ett produktivitetsverktyg kan komma för sent att okontrollerad autonomi tyst men avgörande förstorar exponeringen.