Ransomware je i dalje jedna od najznačajnijih prijetnji s kojima se tvrtke širom svijeta suočavaju. Nije uvijek problem samo enkripcija podataka.
Do ransomwarea dolazi zbog načina na koji napadači dolaze do sustava i iskorištavaju ljudske i tehničke slabosti.
Prema najnovijem Sophos Active Adversary Reportu 2026, ransomware napadi i dalje ostaju dominantan i kritičan element velikih sigurnosnih incidenata. Trendovi koji ih prate pokazuju zabrinjavajuće promjene u taktici napadača i krajnjim posljedicama za žrtve.
Help Net Securty prenosi da je spomenuti opsežni izvještaj, temeljen na analizi 661 incidenta obuhvaćenog u razdoblju od 1. studenog 2024. do 31. listopada 2025.
Naime, jasno razumijevanje kako napadači ulaze, kreću se kroz mreže, te kada je došlo do same krađe.
Ransomware i pristup sustavima
Tradicionalni pristup zaštiti stavlja naglasak na zakrpe i tehničke ranjivosti.
No, danas su samo dio rješenja.
Prema Sophosovom izvještaju, 67% svih slučajeva kompromitacije počinje identitetom korisnika.
Kreće ukradenim vjerodajnicama, phishing kampanjama i brute-force napadima. Drugim riječima, napadači često ne ulaze u sustav tehničkim exploitima, već se prijavljuju u njega koristeći legitimne podatke.
Kompromitacija identiteta omogućava napadačima da brzo steknu početni pristup. Nakon toga obično ciljaju ključne resurse poput Active Directoryja, koji omogućava pristup upravljačkim i administrativnim funkcijama unutar tvrtke.
Napadaču treba svega kojih tri sada od prvog pristupa do potpune kontrole Active Directoryja. Nevjerojatna brzina.
Ransomware napadi nikada ne čekaju i nemaju svoje radno vrijeme. Preko Help Net Securityja saznajemo da se 88 % ransomware aktivnosti odvija izvan standardnih radnih sati. Često se odvijaju noću ili vikendom, kada su timovi pod manjim nadzorom i reakcija sporija.
Isto se odnosi i na krađu podataka prije enkripcije. Naime, 79% takvih aktivnosti događa se izvan uobičajenog poslovnog vremena.
Promjena strategije napada
Sophos izvještaj jasno pokazuje pomak s klasičnih tehnoloških exploitacija na identitet kao početni vektor napada.
Napadači sve češće koriste:
- kompromitirane vjerodajnice sa dark weba
- phishing kampanje usmjerene na krađu podataka
- brute-force napade za probijanje lozinki
Umjesto da traže tehničke rupe u sustavu, nalaze načine da iskoriste ljudske i proceduralne slabosti, što ih čini opasnijima.
Generativna AI tehnologija, iako nije izravno transformirala ransomware taktike, poboljšava kvalitetu phishing poruka i povećava brzinu njihovog slanja.
Radi toga su kampanje sve uspješnije. Napadači umjetnom inteligencijom stvaraju poruke kojima onda lakše prevare korisnike.
Ransomware u akciji
Sophosovo izvješće također identificira trend širenja ransomware grupa. U analiziranim incidentima primijećeno je 51 različita ransomware „brenda“, uključujući poznate Akira i Qilin, koji su među najaktivnijima.
Po tome vidimo da napadači ne djeluju u homogenoj grupi, nego u heterogenoj i sve širem ekosustavu kriminalnih skupina.
Iako tradicionalne ransomware skupine poput LockBit i dalje postoje, pritisak pravosudnih institucija doveo je do fragmentacije i pojave novih grupa. Napadači se sve više natječu za pristup kompromitiranim mrežama i podatke koriste na različite načine. Kako smo već spomenuli, ne natječu se samo za enkripciju, već i za krađu i ucjenjivanje putem objave osjetljivih podataka.
Ransomware ima i dugoročne posljedice za rad tvrtki. Suočavaju se s prekidima rada, gubitkom podataka, troškovima sanacije i reputacijskim gubicima. I to su samo neki od izazova. Troškovi oporavka nakon napada uglavnom nadmašuju iznose samih otkupnina. Vidimo da većina tvrtki i dalje plaća tražene svote iz straha od nepopravljive štete.
Identitet je glavna meta napada
Ransomware napadi danas počinju kompromitacijom identiteta. Takva situacija napadačima omogućava brz i čist pristup bez otkrivanja ranjivosti sustava. Krađa vjerodajnica, napadi phishingom i brute-force pristupi omogućuju im da uđu kroz prednja vrata i izbjegnu tradicionalne barijere poput vatrozida i antivirusnih programa.
Pored toga, mnoge tvrtke još uvijek ne koriste višefaktorsku autentifikaciju (MFA), što dodatno povećava izloženost.
U gotovo 60% slučajeva analiziranih u izvješću nije bilo dovoljno snažnih MFA mjera, što napadačima dopušta da iskoriste ukradene lozinke i pristupe mreži bez dodatne kontrole.
Dodatan problem predstavlja i nedostatak telemetrije. Podaci iz logova se ne pohranjuju (barem ne dovoljno detaljno). U takvoj situaciji je teško napraviti forenzičku analizu i brzu detekciju napada.
Kad napadači stignu do ključnih sustava, tvrtke više nemaju dovoljno vremena za reakciju.
Preporuke za obranu od prijetnji
Sophos Active Adversary Report ne samo da opisuje problem, nego daje i praktične smjernice:
- Uvođenje phishing-otpornog MFA:
Višefaktorska autentifikacija koja se ne oslanja samo na SMS ili e-mail značajno otežava napadačima korištenje ukradenih vjerodajnica. - Stalno praćenje i detekcija:
Kontinuirano praćenje sustava, i izvan radnog vremena. Veliki broj ransomware napada dolazi “izvan špice”. - Poboljšanje telemetrije i zadržavanje logova:
Zadržavanje sigurnosnih logova dulje od standardnih 24 ili 72 sata omogućuje bolju analizu sumnjivih aktivnosti i bržu reakciju. - Smanjenje izloženosti identiteta:
Ograničavanje pristupa privilegiranim računima, segmentacija mreže i stroži pristupni kontrole smanjuju mogućnosti napadača da se brzo prošire nakon ulaska.
Ransomware ostaje glavni izazov
Ostaje glavni izazov, ali i motiv za jačanje obrane! Tvrtke trebaju graditi otpornost koja uključuje proaktivnu zaštitu identiteta, stalnu detekciju i spremnost na odgovor 24/7.
U tom kontekstu ransomware ostaje kritični izazov, ali i objektiv za unapređenje ukupne sigurnosne kulture i infrastrukture u digitalnom dobu.
