Hackerii nu mai sparg ușa, ci intră cu parola ta. Atacurile de identitate devin principala cauză a ransomware-ului

Hackerii nu mai sparg ușa, ci intră cu parola ta. Atacurile de identitate devin principala cauză a ransomware-ului
Foto: Profimedia

Exploatarea vulnerabilităților nu mai este principala cale prin care ransomware-ul ajunge în rețelele companiilor. Potrivit raportului internațional State of Ransomware 2026 publicat de Sophos, atacatorii preferă acum mesajele malițioase, phishing-ul și conturile compromise.

Studiul a fost realizat în rândul a 2.158 de lideri IT și de securitate cibernetică. Participanții provin din 17 țări. Toți au lucrat în organizații afectate de ransomware în ultimul an. Datele arată o schimbare importantă. Identitatea digitală a angajaților a devenit una dintre cele mai valoroase ținte.

Emailul a depășit vulnerabilitățile software

Mesajele malițioase au fost cauza inițială în 26% dintre atacurile analizate. Phishing-ul a fost indicat în alte 24% dintre cazuri. Împreună, cele două metode sunt responsabile pentru jumătate dintre incidentele ransomware.

Exploatarea vulnerabilităților a coborât la 18%. În raportul anterior, aceasta fusese menționată în 32% dintre cazuri. Scăderea nu înseamnă că actualizările de securitate au devenit mai puțin importante. Arată doar că atacatorii au găsit o cale mai simplă.

Este adesea mai ușor să păcălești un angajat decât să descoperi o breșă necunoscută. Un email poate imita o factură, o cerere internă sau un mesaj de la conducere. Un singur click poate deschide accesul către întreaga rețea.

Companiile trebuie să trateze cu mai multă atenție securitatea emailului. Filtrele automate nu mai sunt suficiente. Mesajele generate cu ajutorul AI pot avea un limbaj corect. Pot include informații reale și pot părea trimise de persoane cunoscute.

Parolele furate deschid drumul către ransomware

Datele de autentificare compromise au fost folosite în 23% dintre atacuri. Hackerii nu mai au nevoie să forțeze accesul. Ei se conectează cu un nume de utilizator și o parolă valide.

Datele pot proveni din breșe mai vechi. Pot fi cumpărate de pe forumuri clandestine. Pot fi furate cu programe de tip infostealer. Uneori, parola este obținută printr-o pagină falsă de autentificare.

După conectare, atacatorul încearcă să pară un utilizator obișnuit. Caută documente interne. Identifică serverele importante. Verifică sistemele de backup. Apoi încearcă să obțină drepturi de administrator.

În 67% dintre cazuri, victimele au spus că atacul ransomware a fost cel mai important incident de identitate suferit în ultimul an. Un singur cont compromis poate produce astfel blocarea activității, furtul datelor și pierderi financiare majore.

Autentificarea multifactor nu a oprit atacurile

Una dintre cele mai surprinzătoare concluzii privește autentificarea multifactor. MFA era activată în 97% dintre atacurile bazate pe credențiale compromise. Totuși, hackerii au reușit să pătrundă în sisteme.

Asta nu înseamnă că MFA este inutilă. Problema poate fi implementarea incompletă. Unele companii o activează pentru email, dar nu și pentru VPN, servere sau aplicații vechi. Atacatorul caută exact acel punct neprotejat.

Există și metode prin care codurile temporare pot fi interceptate. Hackerii pot crea pagini care transmit în timp real parola și codul MFA către serviciul autentic. Pot fura și cookie-urile unei sesiuni deja aprobate.

Notificările de tip push reprezintă un alt risc. Atacatorul trimite cereri repetate de conectare. Utilizatorul poate aproba una din greșeală. O soluție mai sigură este autentificarea rezistentă la phishing, bazată pe passkey-uri sau chei FIDO2.

Protejarea identității devine noua prioritate

Sophos consideră că firmele trebuie să treacă de la simpla protejare a dispozitivelor la monitorizarea identităților. Sistemele trebuie să detecteze conectările neobișnuite. Trebuie urmărite schimbările de privilegii și accesarea unor resurse nefolosite anterior.

Segmentarea rețelei poate limita deplasarea atacatorului. Chiar dacă un cont este compromis, acesta nu ar trebui să ofere acces la toate serverele. Conturile administrative trebuie separate de cele folosite pentru email sau navigare.

Organizațiile trebuie să verifice și identitățile non-umane. Conturile de servicii, cheile API și agenții AI pot avea acces extins. Unele parole rămân neschimbate ani întregi. Alte conturi continuă să funcționeze după încheierea proiectelor pentru care au fost create.

Raportul arată că lupta împotriva ransomware-ului nu mai poate fi redusă la actualizarea programelor. Protejarea conturilor devine la fel de importantă. Înțelegerea noii forme de furt de identitate poate face diferența dintre o tentativă blocată și paralizarea unei organizații.