Evolucija od zaključavanja do tihog špijuniranja
Zamislite scenarij u kojem napadači mjesecima tiho sjede unutar vašeg sustava, kopiraju svaki dokument, analiziraju svaki email i mapiraju svaku ranjivost. A vi nemate pojma da se bilo što događa.
Tako izgledaju ransomware napadi 2026. godine.
Ransomware je prošao put od primitivnog zaključavanja zaslona uz poruku “Platite 189 dolara” do višeslojnih operacija vrijednih desetke milijuna dolara.
Prema izvještaju Cybersecurity Ventures, globalni troškovi ransomware napada premašit će 265 milijardi dolara godišnje do 2031. godine.
No, ono što statistike ne otkrivaju na prvi pogled jest fundamentalna promjena u samoj prirodi prijetnje.
Ransomware napadi 2026. godine više ne počinju i završavaju enkriptiranjem datoteka. Moderni napadači preferiraju ostati nevidljivi, tiho izvlačiti podatke i ucjenjivati žrtve na načine koji su donedavno bili rezervirani isključivo za državne obavještajne operacije.
Ova evolucija ima poseban značaj za kibernetičke prijetnje s kojima se suočava Hrvatska i šira regija.
Kibernetički kriminal Hrvatska bilježi u porastu, dok su digitalna sigurnost vijesti sve češće ispunjene izvještajima o sofisticiranim napadima koji pogađaju tvrtke, javne institucije i zdravstveni sustav.
Od disketa do decentraliziranih kriminalnih mreža
Rana faza (1989–2013): Počeci ucjenjivanja
Povijest ransomware-a počinje davne 1989. godine s AIDS Trojanom (poznatim i kao PC Cyborg), koji je kreirao biolog dr. Joseph Popp.
Malware je distribuiran putem 20.000 zaraženih disketa poslanih sudionicima WHO-ove konferencije o AIDS-u. Nakon 90 restartova računala, program bi sakrio direktorije i enkriptirao nazive datoteka, zahtijevajući 189 dolara poslanih poštom na adresu u Panami.
Primitivno? Apsolutno. No princip je postavljen. Zvuči nekako ovako: onemogući pristup podacima, zahtijevaj plaćanje.
Tijekom sljedećih petnaestak godina ransomware je ostao relativno nerazvijena prijetnja.
Tek 2005. godine pojavljuju se sofisticiraniji varijante poput Gpcode-a, koji je koristio RSA enkripciju.
Pravu prekretnicu donosi 2013. godina i pojava CryptoLockera.
Taj napad je bio prvi masovni uspješni ransomware. Koristio je jaku asimetričnu enkripciju i zahtijevao plaćanje u Bitcoinu. CryptoLocker je u samo nekoliko mjeseci prikupio procijenjenih 27 milijuna dolara.
Zlatno doba (2014–2019): Masovni napadi globalnih razmjera
Razdoblje od 2014. do 2019. godine obilježili su napadi koji su dospjeli na naslovnice diljem svijeta.
Svibanj 2017. godine donio je WannaCry, ransomware crva koji je za samo jedan dan zarazio preko 230.000 računala u 150 zemalja.
Britansko zdravstvo (NHS) bilo je paralizirano, tvornice Renaulta zaustavljene, a Deutsche Bahn prikazivao ransomware poruke na informativnim zaslonima.
Samo mjesec dana kasnije, NotPetya je uzrokovao štetu procijenjenu na 10 milijardi dolara, pogodivši tvrtke poput Maerska, Mercka i FedEx-a.
Ono što je učinilo NotPetyu posebno razornom jest činjenica da zapravo nije bio pravi ransomware. Plaćanje otkupnine nije moglo vratiti podatke. Bio je to destruktivni wiper maskiran kao ransomware, vjerojatno djelo ruskih državnih aktera usmjereno protiv Ukrajine, s globalnim kolateralnim posljedicama.
Ransomware postaje industrija (2020–2023)
Između 2020. i 2023. godine, cijeli ransomware ekosustav doživio je transformaciju koja ga je učinila sličnijim legitimnoj softverskoj industriji nego kaotičnom podzemlju.
Pojava modela Ransomware-as-a-Service (RaaS) omogućila je praktički bilo kome s minimalnim tehničkim znanjem da pokrene razorne napade.
Grupe REvil, Conti, LockBit i BlackCat razvile su sofisticirane partnerske programe s podjelom prihoda, korisničkom podrškom za žrtve i čak SLA (Service Level Agreement) sporazumima.
LockBit je do 2023. godine imao vlastiti bug bounty program, nudeći nagrade za pronalaženje ranjivosti u njihovom malwareu.
U ovom je razdoblju nastala i taktika dvostruke ucjene. Napadači ne samo da enkriptiraju podatke, već ih prethodno kopiraju i prijete javnom objavom ako se otkupnina ne plati.
Istovremeno, pojačano su se širile investicijske prijevare i phishing napadi koji su služili kao ulazni vektor za složenije ransomware operacije.
Moderna era (2024–2026): Hibridni i stealth napadi
Ransomware napadi 2026. godine predstavljaju kulminaciju dvadesetogodišnje evolucije.
Granica između ransomware-a, špijunaže i sabotaže postala je gotovo nevidljiva.
Moderni napadači kombiniraju tehnike koje su nekada bile ekskluzivno vezane uz napredne državne aktere (APT grupe) s financijskim motivima kriminalnog podzemlja.
Ono što definira ovu eru jest strpljenje. Napadači više ne žure s enkriptiranjem. Umjesto toga, tjednima ili mjesecima istražuju mrežu, identificiraju najvrijednije podatke, mapiraju backup infrastrukturu i tek onda donose odluku.
Ponekad čak odluče da je tiha ekstrakcija podataka profitabilnija od klasičnog zaključavanja. Moramo se fokusirati na ovu promjenu paradigme i uzimati u obzir kao prioritet.
Nova paradigma ucjenjivanja
Tradicionalni ransomware radio je na jednostavnom princip. Model enkriptiraj datoteke žrtve, prikaži poruku s uputama za plaćanje, čekaj Bitcoin. Ako žrtva ima dobre backup kopije, napadač gubi.
Ova jednostavna jednadžba drastično se promijenila. Moderni ransomware napadi koriste višeslojne strategije ucjene koje nadilaze puku enkripciju.
Dvostruka ucjena (double extortion) postala je standard još 2020. godine. Napadači prije enkriptiranja kopiraju osjetljive podatke i prijete njihovom objavom na dark webu. No evolucija je otišla dalje.
Trostruka ucjena (triple extortion) dodaje treći sloj, Napadači kontaktiraju klijente, partnere ili pacijente žrtve i prijete objavom njihovih osobnih podataka, stvarajući pritisak iz više smjerova istovremeno.
Zabilježeni su slučajevi u kojima su napadači zvali pojedinačne pacijente bolnica čije su medicinske kartone ukrali.
Ovaj fenomen posebno zabrinjava s obzirom na sve učestalije napade na zdravstveni sustav o kojima izvještavaju i hrvatski mediji.
Četverostruka ucjena (quadruple extortion) uključuje i DDoS napade na infrastrukturu žrtve, dodatno otežavajući oporavak i stvarajući osjećaj hitnosti. Žrtva se simultano suočava s enkriptiranim sustavima, prijetnjom curenja podataka, pritiscima trećih strana i nedostupnošću preostalih servisa.
Prema podacima iz izvještaja Verizon DBIR za 2025. godinu, čak 62 posto uspješnih ransomware incidenata uključivalo je neku formu ekstrakcije podataka prije same enkripcije. Takva situacija potvrđuje da je krađa podataka postala primarna taktika, a enkripcija sekundarna.
Ransomware je nevidljiv
Najviše nas zabrinjava prijelaz prema tehnikama koje je gotovo nemoguće detektirati konvencionalnim sigurnosnim alatima.
Living-off-the-land (LotL) tehnike podrazumijevaju korištenje legitimnih sistemskih alata za maliciozne aktivnosti. Napadači koriste PowerShell, WMI, PsExec i druge ugrađene Windows alate za lateralno kretanje mrežom, eskalaciju privilegija i ekstrakciju podataka.
Budući da su ovi alati legitimni dio operativnog sustava, tradicionalni antivirusni programi ih ne označavaju kao prijetnje.
Fileless malware ide korak dalje. Maliciozni kod nikada ne dodiruje disk. Umjesto toga, izvršava se isključivo u radnoj memoriji, što ga čini gotovo nevidljivim za tradicionalne sigurnosne skenere.
Vidimo u podacima izvještaja koje je proveo Institut Ponemon da fileless napadi imaju deseterostruko veću stopu uspješnosti u usporedbi s konvencionalnim malwareom.
Dugoročno prisustvo (persistence) odnosi se na sposobnost napadača da zadrže pristup kompromitiranom sustavu tjednima, mjesecima, pa čak i godinama. Ukradeni pristupni podaci postaju stražnji ulaz u informacijske sustave organizacija, a napadači koriste skrivene kanale komunikacije, legitimne cloud servise za upravljanje i postupno izvlače podatke u malim količinama koje ne aktiviraju alarme.
Integracija APT tehnika s ransomwareom predstavlja spajanje dva svijeta koja su nekada bila odvojena. Napredne trajne prijetnje bile su domena državnih aktera motiviranih špijunažom.
Ransomware je bio domena financijski motiviranih kriminalaca. U 2026. godini, ova se dva pristupa stapaju. Naime, kriminalne grupe koriste APT tehnike za maksimiziranje profita, dok državni akteri koriste ransomware kao paravan za špijunske operacije.
AI, Deepfake i Phishing: Strojno učenje u službi napadača
Umjetna inteligencija više nije neka ekskluzivna zaštita.
Ransomware napadi 2026. godine aktivno koriste AI i strojno učenje za povećanje učinkovitosti i izbjegavanje detekcije.
Automatizacija targetiranja znači da AI analizira javno dostupne podatke o potencijalnim žrtvama. Povlači financijske izvještaje, LinkedIn profile zaposlenika, tehničke detalje vidljive na oglasima za posao, kako bi identificirao organizacije s najvećom vjerojatnošću plaćanja i najslabijim sigurnosnim posturom.
Prilagodljivi napadi koriste strojno učenje za prilagodbu u stvarnom vremenu. Ako sustav za detekciju blokira jedan vektor napada, malware automatski prebacuje na alternativnu metodu.
Neki varijante modernog ransomwarea sposobne su testirati sigurnosne mehanizme žrtve i prilagoditi svoju strategiju napada dok se napad odvija.
Posebno zabrinjavajuća primjena jest korištenje deepfake tehnologije u sklopu social engineering faze napada.
Zabilježeni su slučajevi u kojima su napadači koristili klonirane glasove direktora tvrtki za telefonsko odobravanje lažnih transakcija ili davanja pristupa sustavima.
Ovakvi kreativni pristupi nadograđuju klasične phishing napade na potpuno novu razinu uvjerljivosti. Interpol je ovaj fenomen prepoznao kao rastuću globalnu prijetnju. Dobar primjer takve prijetnje je phishing operacija nazvana Synergia.
Istovremeno, platforme poput Bookinga postale su čest vektor za ciljane napade na korisnike, pri čemu napadači koriste kompromitirana partnerska sučelja za slanje uvjerljivih phishing poruka direktno unutar legitimne komunikacije s gostima. O toj temi smo pisali u prethodnom članku.
Karakteristike ransomware napada 2026.
Razina tehničke sofisticiranosti modernog ransomwarea dramatično je porasla. Polimorfni i metamorfni kod znači da svaka instanca malwarea izgleda potpuno drugačije.
Potpisi koje koriste tradicionalni antivirusni programi postaju beskorisni jer se kod mijenja pri svakom širenju.
Anti-sandboxing tehnike omogućavaju malwareu da prepozna kada se izvršava u kontroliranom okruženju za analizu. Moderni ransomware provjerava rezoluciju zaslona, broj CPU jezgri, količinu RAM-a, prisutnost karakterističnih procesa virtualizacije, pa čak i brzinu korisničkih interakcija.
Ako detektira sandbox, ponaša se benigno ili se jednostavno ne aktivira.
Ciljani napadi umjesto masovnih kampanja postali su dominantni pristup.
Umjesto slanja milijuna phishing emailova u nadi da će netko kliknuti, sofisticirani napadači detaljno istražuju specifičnu organizaciju, identificiraju ključne zaposlenike i kreiraju personalizirane napade dizajnirane isključivo za tu jednu metu.
Cloud, IoT i lanci nabave
Cloud infrastruktura postala je primarna meta. Pogrešno konfigurirani S3 bucketi, prekomjerne IAM dozvole i nesigurne API konfiguracije omogućavaju napadačima pristup ogromnim količinama podataka bez potrebe za kompromitacijom ijednog endpoint uređaja.
IoT uređaji predstavljaju rastući vektor napada. Od industrijskih kontrolnih sustava do medicinskih uređaja, IoT ekosustav karakteriziraju slabi sigurnosni standardi, rijetko ažuriranje firmwarea i ograničene mogućnosti monitoringa.
Napadi javne nabave postali su izrazito učestali. Umjesto napada na dobro zaštićenu veliku organizaciju, napadači kompromitiraju manji, slabije zaštićen softverski lanac opskrbe.
Jedan kompromitiran update mehanizam može inficirati tisuće organizacija istovremeno.
Organizacije koje žele razumjeti tehničku stranu prijetnje, moraju poznavati i zero-day ranjivosti. Govorimo o nepoznatim propustima u softveru za koje proizvođač još nema zakrpu.
Zero-day ranjivosti vodič za njihovo razumijevanje i mitigaciju trebao bi biti sastavni dio sigurnosne dokumentacije svake organizacije.
Geopolitički aspekti
Granica između državno sponzoriranog hakinga i kriminalnog ransomwarea postala je nejasna do neprepoznatljivosti.
Hacktivizam i financijska motivacija više nisu jasno odvojeni. Grupe koje se deklariraju kao hacktivisti sve češće koriste ransomware za financiranje svojih operacija, dok financijski motivirane grupe ponekad ciljaju organizacije iz ideoloških razloga.
Pročitajte nekoliko primjera
Napad Change Healthcare (Veljača 2024.)
BlackCat (ALPHV) grupa izvela je katastrofalan napad na Change Healthcare, tvrtku koja obrađuje oko 50 posto svih zdravstvenih transakcija u SAD-u. Napad je uzrokovao tjedne prekide u cijelom zdravstvenom sustavu, onemogućivši ljekarne da obrađuju recepte i bolnicama da zaprimaju osiguranja.
Grupacija UnitedHealth platila je otkupninu od 22 milijuna dolara, a ukupna šteta procijenjena je na preko 1,6 milijardi dolara.
Lekcija: Centralizirane kritične infrastrukture predstavljaju single point of failure čiji ispad može imati kaskadne posljedice na cijeli sektor. Ovaj slučaj ilustrira zašto su napadi na zdravstveni sustav posebno opasni, dok posljedice nisu samo financijske, već izravno ugrožavaju ljudske živote.
Tihi napadi na europske energetske tvrtke (2025.)
Tijekom 2025. godine, nekoliko europskih energetskih kompanija otkrilo je da su napadači mjesecima prisutni u njihovim mrežama. Napadači, povezani s APT grupom koja ima veze s državnim akterom, koristili su kombinaciju kompromitacije lanca nabave i Living-off-the-land tehnika.
Nisu enkriptirali podatke, već su sistematski kopirali tehničku dokumentaciju, poslovne planove i osobne podatke zaposlenika. Ucjene su uslijedile tek nakon potpune ekstrakcije.
Lekcija: Dugo vrijeme prisutnosti omogućava napadačima da prikupe dovoljno materijala za višestruke forme ucjene.
Napad na proizvodni sektor putem IoT uređaja (2025–2026.)
Početkom 2026. godine, napadači su kompromitirali industrijsku tvrtku iskoristivši ranjivost u nepatchiranom firmwareu IoT senzora na proizvodnoj liniji.
Kroz senzore su dobili pristup OT mreži, odakle su prešli na IT mrežu.
Nakon šest tjedana tihog prisustva, istovremeno su enkriptirali IT sustave i manipulirali postavke proizvodne opreme, prijeteći fizičkim uništenjem strojeva ako se otkupnina ne plati u roku od 48 sati.
Lekcija: Konvergencija IT i OT mreža stvara nove vektore napada s potencijalno fizičkim posljedicama. Segmentacija između IT i OT okruženja apsolutni je prioritet za industrijske organizacije.
Sedam faza modernog ransomware napada
Ransomware napadi 2026. godine slijede metodičan, višefazni proces koji može trajati tjednima ili mjesecima.
Faza 1 — Inicijalni pristup. Napadači ulaze u mrežu putem jednog od više vektora. Spear phishing emailovi s malicioznim prilozima ili linkovima (još uvijek najučinkovitija metoda), iskorištavanje poznatih ranjivosti u javno dostupnim servisima, korištenje ukradenih ili kupljenih vjerodajnica s dark web tržišta te kompromitiranje lanca nabave partnerske tvrtke.
Sve češće se koriste i zero-day exploiti, posebno za visoko vrijedne mete.
Faza 2 — Uspostavljanje uporišta. Nakon inicijalnog pristupa, napadači instaliraju persistentne backdoor mehanizme, tj. web shellove, modificirane legitimne servise ili zakazane zadatke koji osiguravaju ponovni pristup čak i ako se primarni ulaz otkrije i zatvori.
Faza 3 — Izviđanje i lateralno kretanje. Napadači mapiraju mrežu, identificiraju Active Directory strukturu, lociraju administratorske račune i kritične sustave.
Koriste alate poput BloodHounda za vizualizaciju AD okruženja i legitimne administratorske alate za kretanje mrežom.
Faza 4 — Eskalacija privilegija. Cilj je dobiti Domain Admin ili ekvivalentne privilegije iskorištavanjem lokalnih ranjivosti, neispravno konfiguriranih Group Policy objekata ili zastarjelih servisnih računa s prekomjernim dozvolama.
Faza 5 — Ekstrakcija podataka. Prije ikakve enkripcije, najvrjedniji podaci kopiraju se na eksterne servere. Ova faza može trajati danima ili tjednima, s podacima koji se šalju u malim paketima kroz legitimne cloud servise ili enkriptirane tunele.
Faza 6 — Onemogućavanje obrane. Neposredno prije aktivacije, napadači onemogućavaju sigurnosne alate, brišu shadow kopije, kompromitiraju backup sustave i onemogućavaju oporavak.
Faza 7 — Deployment i aktivacija. Tek u završnoj fazi I to samo ako napadači procijene da je enkriptiranje optimalna strategija. Zatim se pokreće se ransomware payload.
U nekim slučajevima, napadači potpuno preskaču ovu fazu i prelaze izravno na ucjenu samo s ukradenim podacima.
Najčešće Ranjivosti Koje Napadači Iskorištavaju
Neotklonjeni sigurnosni propusti ostaju najčešći vektor inicijalnog pristupa. Prema CISA-inim podacima, više od 60 posto uspješnih ransomware napada iskorištava poznate ranjivosti za koje zakrpa već postoji.
Slabe lozinke i nedostatak višefaktorske autentikacije još uvijek su endemski problem.
Kompromitacija korisničkih računa putem brute force napada ili credential stuffinga trivijalna je bez MFA zaštite na kritičnim sustavima.
Nedovoljno segmentirane mreže omogućavaju napadačima da se iz jedne kompromitrane radne stanice kreću kroz cijelu organizaciju. Flat network arhitektura pretvara kompromitaciju jednog endpointa u kompromitaciju cijele mreže.
Ljudski faktor ostaje najteže kontrolirana ranjivost. Sofisticirani social engineering napadi, potpomognuti AI-generiranim sadržajem i deepfake tehnologijom, mogu prevariti čak i svjesne zaposlenike.
Izgradnja otporne organizacije
Zero Trust arhitektura postala je temeljni okvir za ransomware zaštitu tvrtki.
Princip “nikada ne vjeruj, uvijek verificiraj” znači da svaki korisnik, uređaj i mrežni tok moraju biti autenticirani i autorizirani, neovisno o tome nalaze li se unutar ili izvan korporativnog perimetra.
Implementacija Zero Trust modela uključuje mikrosegmentaciju mreže, princip najmanje privilegije, kontinuiranu verifikaciju identiteta i enkripciju svih komunikacija.
Mrežna segmentacija ograničava lateralno kretanje napadača. Čak i ako napadač kompromitira jedan segment mreže, segmentacija sprječava automatsko širenje na kritične sustave, backup infrastrukturu ili OT okruženje.
Redoviti sigurnosni auditi i penetracijski testovi otkrivaju ranjivosti prije napadača.
Kvartalni penetracijski testovi, godišnji red team angažmani i kontinuirano skeniranje ranjivosti trebali bi biti standard za svaku organizaciju.
Edukacija zaposlenika mora biti kontinuirana, relevantna i mjerljiva. Uspješni programi uključuju redovite simulirane phishing kampanje, interaktivne radionice, specifičan trening za visoko rizične uloge i kulturu u kojoj je prijavljivanje sumnjivih aktivnosti poticano, a ne stigmatizirano.
Rješenje je višeslojna obrana
EDR (Endpoint Detection and Response) rješenja zamijenila su tradicionalne antivirusne programe kao primarnu liniju obrane.
EDR alati prate ponašanje procesa u stvarnom vremenu, detektiraju anomalne aktivnosti, omogućavaju forenzičku analizu i automatski reagiraju na prijetnje.
Za centralizirani pogled, XDR (Extended Detection and Response) proširuje vidljivost na mrežu, cloud i email.
SIEM (Security Information and Event Management) sustavi prikupljaju i koreliraju logove iz svih sustava, omogućavajući detekciju sofisticiranih napada koji se manifestiraju kroz niz naizgled benignih događaja.
Moderni SIEM sustavi integrirani su s threat intelligence feedovima i koriste strojno učenje za identifikaciju anomalija.
Analitika ponašanja (behavioral analytics) fokusira se na prepoznavanje neuobičajenog ponašanja korisnika i sustava. Neočekivan pristup osjetljivim datotekama, masovno preuzimanje dokumenata izvan radnog vremena, pristup sustavima koji nisu u opisu posla zaposlenika ili komunikacija s poznatim malicioznim IP adresama.
AI-bazirana detekcija prijetnji koristi strojno učenje za analizu ogromnih količina podataka u potrazi za uzorcima koji indiciraju kompromitaciju.
Ova tehnologija postaje neophodna u okruženju gdje napadači koriste iste AI tehnologije za izbjegavanje detekcije.
Backup strategija kao posljednja linija obrane mora uključivati pravilo 3-2-1-1 — tri kopije podataka, na dva različita medija, s jednom kopijom izvan lokacije i jednom potpuno izoliranom (air-gapped) kopijom. Redovito testiranje oporavka iz backupa jednako je važno kao i sam backup.
Zaključak: Prilagodba ili Propast
Ransomware napadi 2026. godine predstavljaju fundamentalno drugačiju prijetnju od one s kojom smo se suočavali prije samo nekoliko godina.
Prijelaz od grubog zaključavanja datoteka prema tihom, strpljivom špijuniranju i višeslojnoj ucjeni zahtijeva jednako fundamentalnu promjenu u pristupu cyber sigurnosti.
Organizacije koje se još uvijek oslanjaju na perimetarsku obranu, tradicionalne antivirusne programe i godišnju edukaciju zaposlenika izložene su neproporcionalnom riziku.
Moderne prijetnje zahtijevaju modernu obranu — Zero Trust arhitekturu, napredne alate za detekciju i odgovor, proaktivno traženje prijetnji i kulturu sigurnosti koja prožima svaki aspekt poslovanja.
Kibernetički kriminal ne poznaje granice, a Hrvatska nije izuzeta od globalnih trendova. Svaka organizacija, bez obzira na veličinu ili djelatnost, potencijalna je meta. Pitanje nije hoće li vaša organizacija biti napadnuta, već kada — i hoćete li biti spremni.
Vrijeme za djelovanje je sada. Ne čekajte da ransomware poruka na vašem zaslonu postane prva indicija da imate problem. Jer tada je već prekasno!
