Ransomware 2025: Eksplozija žrtava, fragmentacija grupa i prijetnja koju pogoni umjetna inteligencija

Ransomware 2025: Eksplozija žrtava, fragmentacija grupa i prijetnja koju pogoni umjetna inteligencija

Ključne stavke:

    1. godina je zabilježila rekordnih 7.458 žrtava objavljenih na tamnoj mreži, što predstavlja porast od oko 30% u odnosu na 2024. godinu; u drugoj polovini 2025. bilo je aktivno 93 ransomware grupe, najviše do sada.
  • Novi modeli saradnje i tehnološki pomaci, uključujući korištenje umjetne inteligencije i formiranje "supergrupa", dramatično su povećali brzinu, sofisticiranost i opseg napada, dok ranjivosti u softverskim lancima trećih strana ostaju kritična tačka proboja.

Uvod

Ransomware se u 2025. transformisao iz prijetnje koja pogađa pojedinačne organizacije u sistemsku krizu koja testira otpornost globalne digitalne infrastrukture. Brojke govore same za sebe: tisuće kompromitiranih žrtava, desetine novih grupa i novi obrasci saradnje koji podsjećaju na profesionalizaciju kriminalne industrije. Napadi više nisu samo tehnoločki napori grupe hakera: oni su pažljivo orkestrirane operacije koje kombinuju tržišne mehanizme, specijalizirane usluge i alatke koje su sve dostupnije zahvaljujući automatizaciji i AI. I dok su pojedinačni incidenti i dalje dramatični, ono što zabrinjava jeste sistemska priroda problema — fragmentacija velikih aktera u brojne agilne ćelije, ubrzanje eksploatacije lanaca snabdijevanja i promjena paradigme u načinu kako kriminalne grupe pristupaju inicijalnom pristupu ciljanim okruženjima. Analiza iz 2025. pokazuje da reakcija samo represivnim mjerama više nije dovoljna; potrebne su preemptivne strategije, dubinska kontrola trećih strana i prepoznatljiva koordinacija javnog i privatnog sektora.

Rastući broj žrtava i što stoji iza statistike

Podaci prikazuju skok od 30% u broju žrtava objavljenih na stranicama za curenje podataka u odnosu na prethodnu godinu. Ovaj porast nije jednako distribuiran: manje organizacije i dobavljači treće strane posebno su izloženi, jer često nemaju resurse za održavanje snažnih bezbjednosnih mjera. Ransomware napadi su evoluirali iz jednostavnog šifrovanja podataka u sofisticirane kampanje koje ciljaju eksfiltraciju osjetljivih informacija, prijetnju objavom i paralelne taktike ucjene koje povećavaju pritisak na žrtve da plate otkupninu. Javna evidencija žrtava na tamnoj mreži služi i kao mehanizam reputacione štete, dodatno podstičući plateže.

Posmatrano kroz prizmu industrija, neke grane su bile posebno ugrožene jer kombinacija zastarjelih sistema, visokog oslanjanja na podatke i složenih lanaca snabdijevanja čini prijelazne točke privlačnim metama. Međutim, povećanje broja žrtava nije samo rezultat boljeg bilježenja incidenta; radi se o stvarnom porastu uspješnih kompromitacija u kojima su napadači mogli dugoročno držati pristup, sakupiti podatke i objaviti ih kao sredstvo pritiska.

Fragmentacija grupa i porast aktivnih kolektiva

Ransomware ekosistem se pomjera iz modela nekoliko velikih, centralizovanih sindikata prema manje hijerarhijskim, agilnim grupama. U drugoj polovini 2025. evidentirano je 93 aktivnih grupa, što odražava fragmentaciju i diversifikaciju taktika. Ta fragmentacija povećava mogućnosti za brz nastanak novih entiteta: pojedinci ili mali timovi sa određenim vještinama lako se udruže u privremene koalicije, iskoriste zajedničke resurse i brzo promijene taktiku ako prepoznaju rizike.

Pojava supergrupa i kolaboracija između različitih specijalizovanih timova mijenja dinamiku napada. Umjesto da jedna grupa posjeduje sve vještine, danas se mogu formirati ad-hoc koalicije gdje jedan tim obezbjeđuje pristup, drugi razvija šifriranje i eksfiltraciju, a treći orkestrira javnu prijetnju i pregovore. Takvi modeli omogućavaju brži rast i više uspješnih kompromitacija jer kombinuju najbolje prakse i specijalizirane resurse.

Qilin: primjer brzog rasta i promijenjenih obrazaca djelovanja

Grupa identificirana kao Qilin zabilježila je izvanrednih 420% više žrtava u odnosu na prethodnu godinu, što ilustruje koliko brzo nova ili reorganizirana grupa može popuniti vakuum koji ostavljaju druge, neutralizirane ili rasformirane organizacije. Taj nivo rasta ne može se objasniti samo nasiljem u tehnici; radi se o sistemskom korištenju dostupnih resursa, informacijama iz tržišta inicijalnog pristupa i, u nekim slučajevima, sofisticiranim marketinškim pristupima unutar zločinačkih krugova za regrutaciju i širenje.

Rast Qilina i sličnih aktera također ukazuje na sposobnost brzog skaliranja operacija upravljanjem reputacijom na tamnoj mreži, obezbjeđivanjem “servisa” trećim stranama i partnerstvima sa grupama koje nude posebne usluge poput dešifrovanja, pranja novca ili distributivnih kanala za ucjenu.

Uloga umjetne inteligencije u snižavanju prepreka za ulazak

Umjetna inteligencija drastično mijenja karakter ransomware operacija. AI alati omogućavaju automatiziranu proizvodnju zlonamjernog koda, olakšavaju ciljanje kroz analizu velikih količina podataka i omogućavaju stvaranje personalizovanih poruka u socijalnom inženjeringu koje su mnogo efikasnije od generičkih kampanja. To je dovelo do sniženja barijere za ulazak: manje talentovana grupa sada može koristiti gotove modele i prilagođene alate za stvaranje efektivnih napada.

AI se koristi i za testiranje sigurnosti okruženja prije napada, brzo pronalaženje slabih tačaka i generisanje skripti za eksfiltraciju podataka. U rukama sofisticiranih napadača, automatizacija omogućava paralelne kampanje koje ciljaju stotine sistema istovremeno, dok personalizacija komunikacije povećava šansu da će određene osobe unutar organizacije povjerovati u lažne instrukcije i omogućiti pristup. Ovaj razvoj znači da tradicionalne odbrambene strategije koje se oslanjaju na obrasce ponašanja starijih napada postaju manje efikasne.

Shadow Exposure u lancima softverskog snabdijevanja

Jedna od ključnih ranjivosti identificiranih u izvještaju odnosi se na takozvanu "Shadow Exposure" u softveru trećih strana. Mnogi entiteti koriste komponentne i usluge koje pripadaju dobavljačima treće strane, često bez potpunog uvida u rizike koje ti dobavljači nose. Napadači su ubrzali eksploataciju tih ranjivosti brže nego što patch ciklusi i programi upravljanja ranjivostima mogu odgovoriti.

Shadow Exposure se manifestuje kao neočekivane tačke pristupa koje nadilaze tradicionalne perimetre sigurnosti. Kada jedan dobavljač ima slab sigurnosni model, cijela mreža njegovih korisnika postaje izložena. To je posebno opasno jer većina organizacija ne provodi dovoljno dubinsku provjeru sigurnosnih praksi svojih partnera niti kontinuirano mapira koje sve komponente trećih strana koriste. Rezultat je efikasan mehanizam za širenje kompromitacije koji napadačima omogućava pristup velikom broju meta preko relativno jedne ranjivosti.

Ekonomija inicijalnog pristupa i uloga posrednika

Ekonomski model ransomware industrije postao je složen i blisko odgovara legalnim tržištima usluga. Postoje specijalizirani akteri koji se bave pronalaženjem početnog pristupa (Initial Access Brokers, IAB), oni koji nude razvoj malvera kao uslugu, te organizacije specijalizirane za pregovore i pranje dobitaka. IAB-i prodaju pristup kompromitovanim okruženjima po komercijalnim cijenama, a ransomware operateri kupuju te pristupe kako bi izvršili šifriranje i eksfiltraciju.

Ta podjela rada omogućava bržu širenje i veći obim napada. Postoji specifična dinamika ponude i potražnje gdje napadači s manje tehničkih resursa mogu kupiti pristup i alate koji im omogućavaju da lansiraju efikasne kampanje. Kako tržište raste, cijene i modeli razmjene se sofisticiraju, a odnosi među akterima postaju sličniji tržišnim partnerstvima, sa ugovorima, reputacionim sistemima i ocjenama pouzdanosti.

Preemptivne strategije: kako postati "neprivlačna meta"

Izvještaj o ransomwareu naglašava potrebu za preemptivnim pristupom. To podrazumijeva više od standardnih reaktivnih mjera poput backup-a i plana za oporavak. Potrebno je nastaviti raditi na smanjenju izloženosti kroz kontinuiranu inventarizaciju svih zavisnosti, primjenu principa najmanjih privilegija, segmentaciju mreže i rigorozno upravljanje ranjivostima u dobavljačkom lancu. Ključ leži u identifikaciji i neutralizaciji tačaka koje napadači najčešće koriste za inicijalni pristup.

Organizacije moraju ulagati u sustave za detekciju ranih signala kompromitacije i u tehnologije koje mogu automatski izolovati sumnjive aktivnosti. Važan dio strategije je i analiza curenja podataka trećih strana kako bi se ranije detektovalo da li su ključni podaci već kompromitovani i rizik od kasnijih ucjena. Preventivno upravljanje izloženošću također uključuje redovan nadzor reputacije na tamnoj mreži, jer brzo prepoznavanje i odgovaranje na spominjanje organizacije može spriječiti eskalaciju štete.

Tehničke mjere za suzbijanje IAB ekosistema

Borba protiv inicijalnih pristupa zahtijeva kombinaciju tehnoloških i organizacijskih mjera. Jedna od ključnih tehnika je primjena naprednih sistema za upravljanje identitetom i pristupom, koji uključuju multifaktorsku autentikaciju, kontekstualnu verifikaciju i ograničenja pristupa temeljena na politici. Također, kontinuirani monitoring i analiziranje anomaličnih aktivnosti u mreži omogućava ranije otkrivanje upada i smanjuje vrijeme koje napadač provede neprimijećen.

Tehnička proaktivnost obuhvata i pattern-hunting usmjeren na ponašanja povezana sa IAB aktivnostima: neuobičajene lateralne veze, upotreba alata za udaljeno upravljanje i pristupne točke koje se ne uklapaju u standardne poslovne obrasce. Automatizovana orkestracija odgovora može pomoći u smanjenju vremena reakcije, ali mora biti balansirana kako se ne bi generisala nepotrebna lažna pozitivna upozorenja koja umanjuju povjerenje u sisteme.

Upravljanje trećim stranama i osiguranje lanca vrijednosti

Risik menadžment u odnosu na dobavljače traži uske provjere sigurnosne posture partnera, ugovorne odredbe koje obavezuju na sigurnosne standarde i mehanizme za kontinuiranu reviziju. Organizacije koje koriste veliki broj cloud servisa, integracija i komponenti trećih strana trebaju identificirati koje komponente nose najveći rizik i usmjeriti resurse na njihovo osnaživanje.

Ugovori trebaju sadržavati klauzule o obaveznim sigurnosnim praksama, transparentnosti incidenta i pravovremenom obavještavanju u slučaju kompromitacije. Paralelno, tehnička rješenja za mapiranje ovisnosti o softveru i automatizirano praćenje ranjivosti mogu pomoći u razumijevanju koji su dobavljači ključni i kolika je stvarna izloženost. To nije samo pitanje tehnike; to je poslovna odluka o tome koliko rizika je organizacija spremna podnijeti i koje kompenzacione kontrole će primijeniti.

Uloga javne uprave i međunarodna koordinacija

Povećana sofisticiranost ransomware operacija ističe potrebu za snažnijim i koordiniranim odgovorom javnog sektora. Opsežnije i brže međunarodne operacije mogu poremetiti financijske tokove i infrastrukture koje podržavaju kriminalne ekosisteme, ali same po sebi nisu dovoljne. Javne institucije moraju razvijati politike koje prisiljavaju jače standarde sigurnosti, ali i olakšavaju saradnju između agencija, razmjenu informacija i brzu reakciju na incidente.

Regulatorni okviri koji zahtijevaju transparentnost u izvještavanju o incidentima i osnovne sigurnosne standarde u kritičnim sektorima mogu smanjiti asimetriju informacija koje napadači koriste. Međutim, zakonodavstvo mora biti pažljivo dizajnirano kako bi podsticalo proaktivne mjere bez stvaranja nepremostivih tereta za mala preduzeća koja nemaju resurse velikih kompanija.

Ekonomske posljedice i utjecaj na osiguranje

Ransomware postaje značajan faktor u ekonomskim odlukama. Porast broja žrtava i povećana učestalost napada utiču na cijene osiguranja, politike prihvatljivosti rizika i investicije u bezbjednost. Tržište cyber osiguranja se prilagođava novim rizicima, ali sve veći broj desetina i stotina miliona dolara gubitaka otežava modeliranje rizika i dovođenje premija u održive okvire.

Osiguravatelji počinju uvoditi strože zahtjeve za minimalnim sigurnosnim mjerama, što može imati dvostruki efekat: prisiljava organizacije da uvedu bolju praksu, ali i povećava troškove za one koji ne mogu ispuniti standarde. Dugoročno, očekuje se da će kombinacija regulatornog pritiska, tržišnih zahtjeva i rastuće svijesti dovesti do šire implementacije preemptivnih aktivnosti.

Socijalni inženjering i napadi usmjereni na ljude

Dok tehnologija omogućava brže i masovnije napade, ljudski faktor ostaje ključna slabost. Umjetna inteligencija povećava ulogu socijalnog inženjeringa jer automatizuje izradu uvjerljivih poruka i prilagođava ih kontekstu ciljanih osoba. U takvom okruženju, standardni programi obuke postaju nedovoljni: potrebna je kontinuirana kultura sigurnosti, realistične simulacije napada i alati koji pomažu zaposlenima da prepoznaju sofisticirane pokušaje kompromitacije.

Organizacije moraju širiti pristup koji uključuje sve razine menadžmenta, redovno testiranje spremnosti i scenario-planiranje. Komunikacija o prijetnjama unutar organizacije mora biti brza i jasna, uz jasne procedure za prijavu sumnjivih događaja. Time se smanjuje vjerojatnost da će personalni propusti dovesti do velikih sistemskih kompromitacija.

Korištenje prijetnji u pregovorima i etički aspekti plaćanja

Plaćanje otkupnine ostaje kontroverzna tema. S jedne strane, brzo plaćanje može smanjiti neposrednu poslovnu štetu i vratiti pristup kritičnim sistemima. S druge strane, plaćanje podstiče tržište i potpomaže organiziranje napadača. Osiguravatelji, menadžmenti i institucije moraju pažljivo razmotriti posljedice takvih odluka. Pristupi koji se oslanjaju isključivo na plaćanje bez promjene sigurnosne posture dovode do ponavljanja istih patterna.

Postoji i etičko pitanje: plaćanje otkupnine može finansirati druge kriminalne aktivnosti i stvoriti moralnu odgovornost onih koji odlučuju da isplate. Umjesto standardne prakse da se u panici plaća, fokus treba biti na brzom angažmanu stručnjaka za incident response, izvođenju forenzičkih istraga i globalnoj koordinaciji s agencijama za provođenje zakona kako bi se smanjila potražnja za otkupninom.

Tehnologije koje mijenjaju igru u odbrani

Tehnološki razvoj u obrani uključuje napredne sisteme detekcije zasnovane na ponašanju, ekstenzivne sistemske telemetrije i orkestraciju odgovora koja može brzo izolovati segmentaciju kompromitovanih resursa. Također, upotreba zero-trust arhitekture i mikrosegmentacije smanjuje efikasnost lateralnog kretanja napadača. Kriptografske tehnike za zaštitu podataka u mirovanju i u pokretu, uz robustne politike backup-a koje uključuju offline kopije, smanjuju efekt uspješnog šifriranja.

Važan dio odbrane je i ulaganje u forenzičke sposobnosti i sposobnost brzo vratiti poslovne funkcije bez plaćanja. To zahtijeva unaprijed planirane procedure, testirane playbook-ove i kontinuiranu obuku osoblja.

Kako mala i srednja preduzeća mogu prioritetizirati napore

Mala i srednja preduzeća suočavaju se sa ograničenim resursima, ali nisu bez izbora. Fokus treba biti na implementaciji osnovnih, visokoefikasnih kontrola: snažna autentikacija, segmentacija mreže, redovno ažuriranje kritičnih sistema i validni backup postupci koji su izolirani od mreže. Također, ulaganje u jednostavne alate za praćenje i obuku zaposlenika može značajno smanjiti rizik.

Saradnja sa lokalnim i industrijskim sigurnosnim grupama, kao i iskorištavanje zajedničkih servisa za upravljanje ranjivostima, može pomoći u prevladavanju nedostatka interne ekspertize. Ugovori s dobavljačima trebaju jasno definirati sigurnosne obaveze i mehanizme odgovornosti kako bi se smanjio rizik prenosa kompromitacije kroz lanac vrijednosti.

Prognoze i scenariji za 2026.

Analiza trendova ukazuje da će 2026. ostati izazovna godina. Očekuje se da će broj grupa ostati visok, dok će napadi postajati sve brže, preciznije i sve više automatizirani zahvaljujući AI. Međutim, moguće su i pozitivne promjene: intenzivniji međunarodni pritisak i organska prilagodba tržišta sigurnosti mogu smanjiti uspješnost tradicionalnih modela poslovanja ransomware operacija. Pritisak na finansijske kanale i pojava novih tehnika praćenja tokova novca mogu otežati monetizaciju napada, što bi dugoročno dezincentiviralo neke aktere.

Ipak, bez koordinirane, preemptivne strategije — koja uključuje tehničke mjere, zakonska rješenja i učinkovitu saradnju javnog i privatnog sektora — rizici će rasti. Organizacije koje ne investiraju u duboku kontrolu izloženosti i upravljanje dobavljačima vjerojatno će ostati na listi meta.

Česta pitanja:

Pitanje: Koliko je porast žrtava u 2025. značajan i šta ga najviše uzrokuje? Odgovor: Porast od oko 30% odnosi se na zabilježene slučajeve curenja podataka na tamnoj mreži i predstavlja stvarni rast uspješnih kompromitacija. Glavni uzroci su fragmentacija napadačkih grupa, širenje tržišta inicijalnog pristupa, ubrzana eksploatacija ranjivosti u lancima dobavljača i upotreba AI alata koji omogućavaju automatizaciju napada i personalizaciju socijalnog inženjeringa.

Pitanje: Šta znači pojam "supergrupa" u kontekstu ransomwarea? Odgovor: "Supergrupa" opisuje kolaboraciju između više specijaliziranih kriminalnih timova koji udružuju svoje vještine — jedan tim obezbjeđuje inicijalni pristup, drugi razvija i distribuira malver, dok treći koordinira ucjenjivanje i javnu prijetnju. Takva saradnja povećava efektivnost i omogućava brže širenje napada.

Pitanje: Kako umjetna inteligencija mijenja pristup napadača? Odgovor: AI automatizuje generisanje zlonamjernog koda, ubrzava pronalaženje ranjivosti, te omogućava stvaranje preciznih i uvjerljivih poruka za socijalni inženjering. To snižava prag za pokretanje sofisticiranih napada i povećava uspješnost kompromitacija.

Pitanje: Šta je "Shadow Exposure" i zašto predstavlja veliki rizik? Odgovor: "Shadow Exposure" označava skrivene tačke izloženosti u softveru i uslugama trećih strana koje organizacija koristi, a za koje nema potpunog uvida u sigurnosnu praksu. Napadači ciljaju te tačke jer omogućavaju pristup više žrtava preko jedne kompromitacije, čime se potencijal štete značajno multiplikuje.

Pitanje: Koji su ključni koraci za smanjenje rizika od inicijalnog pristupa (IAB)? Odgovor: Ključni koraci uključuju primjenu multifaktorske autentikacije, segmentaciju mreže, kontinuirano praćenje anomaličnih aktivnosti, automatizovanu detekciju i izolaciju te stroge kontrole privilegija. Također, suradnja i razmjena informacija s drugim organizacijama pomaže u identifikaciji i neutralizaciji prijetnji na vrijeme.

Pitanje: Da li plaćanje otkupnine rješava problem brže? Odgovor: Plaćanje ponekad može vratiti pristup brže, ali u većini slučajeva podstiče tržište i povećava vjerovatnoću ponovnih napada. Strategija plaćanja mora biti pažljivo promišljena i ostvarena uz savjet stručnjaka, dok istovremeno treba raditi na tehničkom oporavku i angažmanu relevantnih institucija.

Pitanje: Kako mala preduzeća sa ograničenim budžetom trebaju pristupiti ovom problemu? Odgovor: Male organizacije trebaju fokusirati resurse na osnovne, visokoutjecajne kontrole: sigurnu autentikaciju, redovno ažuriranje kritičnih sistema, testirane offline backupe i obuku osoblja za prepoznavanje socijalnog inženjeringa. Suradnja s vanjskim stručnjacima ili industrijskim grupama može pomoći da se prevaziđu nedostaci interne ekspertize.

Pitanje: Kakvu ulogu igraju države u borbi protiv ransomwarea? Odgovor: Države mogu ometati financijske i logističke kanale kriminalnih mreža kroz međunarodne policijske akcije, sankcije i zakonodavne mjere. Međutim, efikasna borba zahtijeva i podršku privatnog sektora, razmjenu informacija i uspostavljanje jasnih standarda sigurnosti za kritične industrije i dobavljače.

Pitanje: Hoće li izraženija regulacija pomoći u smanjenju ransomware napada? Odgovor: Regulacija koja nameće minimalne sigurnosne standarde i obavezu izvještavanja može doprinijeti smanjenju rizika. Ipak, regulacija mora biti uravnotežena kako ne bi opteretila manje subjekte i treba biti popraćena praktičnim smjernicama i resursima za implementaciju.

Pitanje: Koje su najefikasnije tehnologije za otkrivanje ranih znakova kompromitacije? Odgovor: Sustavi za detekciju zasnovani na ponašanju i napredna telemetrija, u kombinaciji s alatima za automatizovanu analizu i orkestraciju odgovora, omogućavaju rano otkrivanje neobičnih aktivnosti. Zero-trust arhitektura i mikrosegmentacija značajno smanjuju mogućnosti lateralnog kretanja napadača.

Pitanje: Kako organizacije mogu pratiti da li su njihovi podaci već procurili na tamnoj mreži? Odgovor: Praćenje tamne mreže i analiza curenja podataka specijaliziranim servisima pomažu u prepoznavanju ranih indikacija kompromitacije. Integrisani alati za nadzor reputacije i koordinirani pristup sa stručnjacima za threat intelligence olakšavaju brzo djelovanje ukoliko se pojavi spominjanje organizacije ili njenih podataka.

Pitanje: Šta znači preemptivna strategija u praksi? Odgovor: Preemptivna strategija podrazumijeva aktivno smanjenje izloženosti kroz kontinuiranu inventarizaciju zavisnosti, upravljanje ranjivostima dobavljača, primjenu najboljih praksi za kontrolu pristupa i ulaganje u tehnologije za rano otkrivanje i automatsku izolaciju sumnjivih aktivnosti. Cilj je onemogućiti da napadači uopće dobiju održiv pristup.

Slični članci

NEWS

03 Jan 2025

Is the Web ChatGPT Any Different from the Desktop App?

Saznaj više

istaknuti članci