Infecții ransomware cu negocieri: cum s-a profesionalizat șantajul în 2026 și de ce te costă oricum scump

Ransomware-ul nu mai este, de mult timp, doar un virus care îți blochează calculatorul și îți cere bani ca să recuperezi fișierele. În 2026, vorbim despre o industrie criminală maturizată, cu infrastructură, roluri specializate, negociatori, site-uri de scurgeri de date, presiune psihologică, analiză financiară a victimei și tactici comerciale care seamănă mai mult cu o combinație toxică între consultanță agresivă, recuperare de creanțe și crimă organizată digitală. Atacul tehnic este doar începutul. Adevărata problemă începe după ce compania descoperă că datele i-au fost criptate, copiate sau ambele.

Paradoxal, în același timp în care tot mai puține victime par dispuse să plătească, ransomware-ul rămâne una dintre cele mai costisitoare forme de atac cibernetic. Verizon notează în raportul DBIR 2026 că ransomware-ul este implicat acum în 48% dintre breșele analizate, chiar dacă organizațiile aleg tot mai des să nu achite sumele cerute. Chainalysis arată, la rândul său, că plățile on-chain către grupări ransomware au scăzut la aproximativ 820 de milioane de dolari în 2025, deși numărul atacurilor revendicate a crescut cu 50%. Cu alte cuvinte, șantajul produce mai puțini bani pe fiecare victimă dispusă să plătească, dar se întinde mai larg și lovește mai des.

De la criptare la extorcare ca serviciu

În forma sa clasică, ransomware-ul era relativ ușor de explicat: atacatorii intrau într-o rețea, criptau fișierele, lăsau un mesaj de răscumpărare și cereau bani în schimbul unei chei de decriptare. Dacă aveai backup-uri bune, curate și testate, puteai refuza plata și reconstrui sistemele. Astăzi, modelul este mult mai periculos, pentru că blocarea fișierelor nu mai este singura pârghie. De multe ori, atacatorii fură date înainte să cripteze infrastructura și amenință cu publicarea lor dacă victima refuză plata.

Această dublă extorcare a schimbat complet dinamica negocierii. O companie nu mai poate spune simplu „restaurăm din backup”. Poate restaura servere, aplicații și baze de date, dar nu poate „restaura” confidențialitatea documentelor deja furate. Contracte, fișe medicale, date personale, corespondență internă, informații despre clienți, cod sursă, rapoarte financiare sau date de autentificare pot deveni muniție pentru șantaj. Din acest motiv, negocierea nu se mai poartă doar în jurul unei chei de decriptare, ci în jurul promisiunii, imposibil de garantat complet, că datele nu vor fi publicate sau revândute.

Kaspersky descrie pentru 2026 o schimbare vizibilă către atacuri de tip encryptionless extortion, adică extorcare fără criptare. În astfel de cazuri, atacatorii nici nu mai pierd timp cu blocarea sistemelor, ci se concentrează pe furtul de date și pe amenințarea reputațională. Este mai rapid, poate fi mai greu de detectat la timp și reduce o parte din costurile operaționale ale grupării criminale. În paralel, ransomware-ul tradițional nu dispare, ci coexistă cu aceste tactici, ceea ce face apărarea și mai complicată.

Profesionalizarea se vede și în ecosistemul de roluri. Unele grupări dezvoltă malware-ul, altele cumpără acces inițial de la brokeri specializați, altele se ocupă de negociere, publicare sau spălarea banilor. Modelul ransomware-as-a-service a creat o piață în care actorii mai puțin tehnici pot închiria instrumente, iar afiliații sunt plătiți în funcție de succesul operațiunii. În practică, o firmă lovită de ransomware nu se confruntă cu „un hacker”, ci cu o mică organizație criminală distribuită.

Negocierea a devenit o etapă calculată, nu un schimb haotic de mesaje

În multe atacuri, primul mesaj primit de victimă seamănă cu o interfață de suport tehnic. Există un portal Tor, un timer, o adresă de chat, instrucțiuni de plată și uneori un „operator” care răspunde la întrebări. Atacatorii pot oferi mostre de fișiere decriptate, pot trimite liste cu date furate și pot cere dovezi că victima are autoritatea să negocieze. Tonul variază de la aparent politicos la agresiv, dar logica este aproape mereu aceeași: să crească presiunea până când organizația acceptă să discute suma.

Vezi și:

Un nou malware care se ascunde în jocurile pentru adulți poate prelua controlul complet asupra calculatorului, avertizează Kaspersky

Val uriaș de atacuri informatice cu aplicații AI false. Hackerii folosesc numele ChatGPT, Gemini și Claude pentru a infecta calculatoarele, avertizează Kaspersky

Aici intră în scenă negociatorii specializați. Pentru companiile mari, un incident ransomware nu mai este gestionat doar de IT. Intră avocați, firme de răspuns la incidente, consultanți în comunicare, asigurători, echipe de management, uneori autorități și, tot mai des, specialiști în negociere cu atacatorii. Scopul lor nu este neapărat să plătească mai puțin, deși acesta poate fi un rezultat, ci să câștige timp, să înțeleagă ce date au fost furate, să verifice dacă atacatorii sunt cine pretind că sunt și să reducă riscul unei decizii impulsive.

Sophos a arătat în raportările sale recente că negocierile pot reduce sumele plătite: 53% dintre companiile care au achitat răscumpărări au raportat că au plătit mai puțin decât cererea inițială. Informația poate părea încurajatoare, dar trebuie citită corect. O reducere obținută în negociere nu transformă plata într-o victorie. Înseamnă doar că victima a reușit să limiteze o parte din pierdere, în timp ce finanțează totuși un ecosistem criminal și rămâne cu toate costurile de recuperare, investigație, audit, întrerupere operațională și reputație.

Mai mult, negocierea nu garantează nimic. Atacatorii pot promite că șterg datele, dar victima nu are un mecanism real prin care să verifice asta. Pot oferi o cheie de decriptare, dar restaurarea poate dura zile sau săptămâni. Pot spune că nu vor publica informațiile, apoi un afiliat nemulțumit sau o altă grupare le poate vinde oricum. În 2026, plata nu mai cumpără siguranță, ci doar o promisiune de reducere a dezastrului.

De ce te costă scump chiar dacă nu plătești răscumpărarea

Una dintre cele mai mari greșeli în înțelegerea ransomware-ului este concentrarea exclusivă pe suma cerută de atacatori. În realitate, răscumpărarea este doar una dintre liniile de cost. Uneori este cea mai vizibilă, dar nu neapărat cea mai mare. O companie afectată trebuie să oprească sisteme, să izoleze rețele, să investigheze accesul inițial, să reconstruiască servere, să reseteze parole, să verifice backup-uri, să notifice clienți sau autorități și să lucreze sub presiune enormă cu furnizori externi.

Sophos indică în raportul său State of Ransomware 2025 o plată medie de 1 milion de dolari și un cost mediu de recuperare de 1,5 milioane de dolari, separat de răscumpărare. Acest detaliu este esențial: chiar și atunci când o companie plătește, nu scapă de nota de plată operațională. Sistemele trebuie restaurate, auditul trebuie făcut, securitatea trebuie întărită, iar angajații trebuie să lucreze într-un mediu instabil până când infrastructura revine la normal.

Pentru organizațiile mici și medii, costul poate fi existențial. O firmă care nu are echipă internă de securitate, backup-uri testate, plan de continuitate și asigurare cyber poate descoperi că un atac de câteva zile îi blochează facturarea, producția, comenzile, comunicarea cu clienții și accesul la documentele critice. În asemenea cazuri, chiar și o răscumpărare „negociată” devine doar o parte dintr-un șir de cheltuieli care pot depăși rapid capacitatea financiară a companiei.

La toate acestea se adaugă costul reputațional. Dacă datele clienților ajung pe dark web, problema nu se încheie când serverele repornesc. Urmează întrebări din partea partenerilor, posibile investigații, pierdere de încredere, costuri juridice și, în unele domenii, impact direct asupra licențelor sau obligațiilor de conformitate. Ransomware-ul modern nu atacă doar infrastructura. Atacă încrederea în companie.

AI, vulnerabilități și brokeri de acces: cum intră atacatorii în rețea

În 2026, atacatorii nu au nevoie întotdeauna de tehnici spectaculoase pentru a declanșa un incident major. De multe ori, punctul de intrare rămâne banal: o vulnerabilitate nepatchuită, un cont compromis, o parolă reutilizată, o conexiune VPN slab securizată, un furnizor compromis sau un angajat păcălit. Diferența este viteza cu care aceste slăbiciuni sunt găsite, exploatate și monetizate.

Verizon DBIR 2026 subliniază rolul tot mai mare al ransomware-ului în breșe și menționează că tehnicile de atac sunt accelerate de instrumente bazate pe AI. Nu trebuie să ne imaginăm neapărat un super-hacker autonom. Mai realist, AI-ul reduce costul operațional al atacatorilor: îi ajută să scrie mesaje de phishing mai bune, să automatizeze recunoașterea, să analizeze ținte, să genereze cod sau să traducă rapid campanii pentru mai multe regiuni.

Kaspersky mai indică o creștere a instrumentelor de evitare a detecției, inclusiv EDR killers, folosite pentru a dezactiva sau ocoli soluțiile de securitate. Asta schimbă raportul de forțe. Dacă înainte multe companii se bazau pe ideea că antivirusul sau EDR-ul va opri atacul înainte de criptare, acum atacatorii intră pregătiți să neutralizeze exact aceste straturi defensive. În plus, accesul inițial s-a industrializat: grupările pot cumpăra acces la rețele deja compromise, reducând timpul dintre vulnerabilitate și extorcare.

Pentru România, lecția este directă. Multe organizații locale, mai ales din zona IMM, administrație locală, sănătate, servicii și producție, nu au maturitatea de securitate a marilor corporații, dar pot fi la fel de dependente de date și sisteme. Un server expus, un NAS prost configurat, un VPN uitat, un RDP deschis sau un furnizor compromis pot deveni intrarea într-o criză completă. Atacatorii nu aleg mereu doar ținte spectaculoase. Aleg și ținte ușoare.

Ce faci înainte să ajungi la negociere

Cea mai bună negociere ransomware este cea pe care nu ești obligat să o porți. Asta nu înseamnă că poți elimina complet riscul, dar poți reduce dramatic șansele ca un incident să devină catastrofă. Primul pas este inventarul real al activelor: ce servere ai, ce aplicații rulează, ce servicii sunt expuse la internet, cine are acces administrativ, ce furnizori se conectează în rețea și unde sunt datele critice.

Al doilea pas este backup-ul testat, nu doar existent. Multe companii cred că au backup până în ziua în care încearcă să restaureze și descoperă că fișierele sunt incomplete, prea vechi, criptate și ele sau imposibil de recuperat rapid. Backup-urile trebuie să fie separate, imutabile acolo unde se poate, protejate prin autentificare puternică și verificate periodic prin restaurări reale. Un backup netestat este mai degrabă speranță decât strategie.

Al treilea pas este reducerea suprafeței de atac: patching rapid pentru sisteme critice, autentificare multifactor pentru conturi sensibile, segmentare de rețea, limitarea privilegiilor, monitorizare, logging centralizat și reguli clare pentru accesul furnizorilor. Nu sunt măsuri exotice, dar sunt exact lucrurile care fac diferența între un incident izolat și o compromitere generalizată.

În al patrulea rând, trebuie pregătit planul de criză. Cine decide oprirea sistemelor? Cine comunică intern? Cine vorbește cu avocații, asigurătorul, autoritățile, clienții și presa? Cine are voie să interacționeze cu atacatorii? Unde sunt parolele de urgență, copiile offline ale documentelor și lista de contacte? Într-un atac ransomware, primele ore sunt haotice. Dacă rolurile nu sunt stabilite înainte, deciziile se iau în panică.

Ransomware-ul cu negocieri arată cât de mult s-a profesionalizat șantajul digital. Atacatorii știu să preseze, să calculeze, să fragmenteze responsabilitatea și să transforme frica într-o tranzacție. Dar costul real nu este doar suma din portofelul crypto. Costul real este oprirea afacerii, pierderea încrederii, expunerea datelor, reconstrucția tehnică și stresul operațional. În 2026, întrebarea nu mai este dacă ransomware-ul te poate costa scump. Întrebarea este dacă ai făcut suficient înainte ca cineva să îți trimită primul mesaj de negociere.