Anii de atacuri ne-au arătat constant că ransomware rămâne una dintre cele mai serioase amenințări pentru organizații la nivel global, asta reiese din Raportul Blue 2025 al Picus Security, care analizează peste 160 de milioane de simulări Breach and Attack. De la criptare combinată cu furt de date până la grupuri care trec direct la exfiltrare pentru a evita detectarea, concluzia e clară: nu e suficient să crezi că ești protejat, trebuie să demonstrezi asta în mod constant.
Istoria conflictelor cibernetice e plină de situații în care familiaritatea cu o amenințare generează încredere iluzorie. Echipele de securitate pot considera că au acoperit „mari nume” de ransomware, dar configurările se schimbă, mediile evoluează, iar atacatorii reconfigureză codul, actualizează loader-ele și perfecționează tehnici de evitare. Blue Report 2025 arată un rezultat limpede: eficacitatea prevenirii a scăzut de la 69% în 2024 la 62% în 2025, iar prevenirea exfiltrării datelor a scăzut la doar 3%, o cifră alarmantă, mai ales că furtul de date e acum centrul tacticii de șantaj dublu.
Raportul rupe mitul că doar „noi” familii ar fi periculoase. Dintre cele zece tulpini cel mai prost prevenite, cinci sunt noi sau emergente, dar toate au trecut de apărare la fel de eficient ca actorii consacrați. BlackByte rămâne pentru al doilea an consecutiv una dintre cele mai greu de blocat, profitând de aplicații expuse public și exfiltrând date înainte de criptare. BabLock menține strategia de dublu șantaj, Maori folosește livrare fileless și campanii regionale. În schimb, FAUST, Valak și Magniber, considerate mai noi, au o rată de evitare a controalelor de aproximativ 44–45%, demonstrând cât de repede pot deveni eficiente „în sălbăticie”. Chiar și familii documentate de mult timp precum BlackKingdom, Black Basta sau Play continuă să folosească acreditări furate, process hollowing și execuție prin servicii la distanță pentru a ocoli mecanismele de apărare.
Problemele concrete în apărare sunt evidente. Prevenirea livrării malware-ului a scăzut la 60% (față de 71% în 2024), ceea ce înseamnă că loader-ele și dropper-ele încă trec de controale statice. Lanțul de detectare are lacune: doar 14% din atacuri au generat alertă, deși 54% au fost înregistrate în loguri, un decalaj log-în-alertă care poate lăsa echipele oarbe la atacuri succesive. Endpoint-urile blochează 76% din atacuri, dar mișcarea laterală și escaladarea privilegiilor reușesc într-un sfert din cazuri, facilitând răspândirea în rețea. Iar exfiltrarea datelor, unde prevenția e doar 3%, alimentează exact tactica folosită de grupuri pentru a presa victimele.
Răspunsul practic la aceste lacune e testarea continuă. Breach and Attack Simulation (BAS) oferă dovezi în timp real despre ce funcționează și ce nu în mediul tău, spre deosebire de testele de tip penetration, făcute periodic și manual. Picus oferă simulări continue care reproduc tacticile, tehnicile și procedurile folosite în sălbăticie, actualizând zilnic biblioteca de amenințări astfel încât organizațiile să poată verifica apărarea atât împotriva familiilor consacrate, cât și a noilor variante precum FAUST sau Magniber. Când o simulare reușește, platforma furnizează remedieri clare, fie specifice vendorilor, fie agnostice, și generează metrici concrete, rate de prevenție, acoperire de detecție, starea de mitigare, pe care echipele le pot prezenta managementului sau auditorilor.
Raportul reamintește un risc simplu: a crede că ești protejat pentru că ai „cele mai bune” produse instalate sau pentru că nu ai avut incidente recente este periculos. Aproximativ jumătate din tentative au trecut de apărare, iar doar 14% au declanșat alerte. Întrebările practice la care BAS răspunde sunt clare: sistemul DLP împiedică cu adevărat scurgerea de date sensibile? Dacă ransomware trece de endpoint, SIEM-ul va ridica semnalul la timp? Gateway-urile de email sunt corect calibrate pentru a bloca payload-urile folosite de BabLock sau Play? Răspunsurile nu mai sunt la nivel de presupuneri.
Blue Report 2025 ilustrează prin cifre și exemple concrete (BlackByte 26%, BabLock 34%, FAUST/Valak/Magniber ~44–45%, AvosLocker 52% prevenție) că diferența între „cunoaștere” și „reziliență demonstrată” e uriașă. Validarea continuă transformă o presupunere într-o dovadă măsurabilă și oferă pași clari pentru îmbunătățire. Pentru organizații, asta înseamnă să testeze constant, să remedieze concret și să monitorizeze impactul acelor remedieri.
Blue Report 2025 detaliază performanța pe industrii, discrepanțele regionale, lacunele tacticilor MITRE ATT&CK și vulnerabilitățile exploatate în prezent. Pentru cei care vor cifre și dovezi, raportul oferă datele necesare pentru a înțelege unde cedează apărarea și de ce validarea continuă este soluția practică. E un memento simplu: nu contează dacă amenințarea are un nume vechi sau nou; ceea ce contează e cât de bine funcționează mecanismele tale, aici și acum.
Blue Report 2025 menționează nume precum BlackByte, BabLock, FAUST, Valak, Magniber și AvosLocker și prezintă cifre precise privind ratele de prevenire și punctele de eșec. Raportul scoate în evidență și discrepanța dintre logare și alarmare, precum și scăderea prevenirii la livrarea malware și la exfiltrarea datelor, cifre care ar trebui discutate în comitetele de securitate și la nivel de board. Creșterea testelor automate BAS și adoptarea remedierilor recomandate concret sunt pași practici pentru a transforma vulnerabilitățile identificate în îmbunătățiri măsurabile.
Doriți ca echipa voastră să dovedească, nu doar să presupună, că poate bloca tulpini precum BlackByte sau FAUST?
Fii primul care comentează