10 Minute
Atacuri ransomware în creștere, plăți crypto în scădere
Firma de analiză blockchain Chainalysis raportează o creștere accentuată, de 50%, a incidentelor publice de tip „leak” (scurgeri) ransomware în 2025, în timp ce plățile cu criptomonede către răscumpărări au scăzut. Datele indică o schimbare clară în comportamentul atacatorilor: grupările cibernetice lansează un număr mai mare de incidente, dar colectează mai puțin în plăți crypto. Această deviație între volum și încasări ridică întrebări importante despre economia ransomware, fluxurile de bitcoin și expunerea la riscul cripto pentru organizații și investitori.
Creșterea numărului de incidente publice sugerează o activitate mai agresivă pe piețele darknet și o mai mare vizibilitate a victimelor, pe măsură ce operatorii de ransomware adoptă strategii de presiune publică (doxing/„naming and shaming”). Totuși, scăderea totală a sumelor plătite pe blockchain indică faptul că aceleași tactici nu se traduc neapărat în recompense financiare mai mari. În evaluarea riscurilor, echipele de securitate și factorii de decizie trebuie să urmărească atât frecvența atacurilor, cât și modificările fluxurilor financiare pe lanț.
Constatările Chainalysis: volum în creștere, încasări în scădere
Chainalysis a înregistrat aproape 8.000 de evenimente publice de tip leak în 2025 — cu 50% mai multe față de 2024 — în timp ce plățile totale pe blockchain către conturi asociate ransomware au scăzut la aproximativ 820 de milioane de dolari, în scădere cu 8% an la an. Analiștii atribuie această divergență unei aplicări mai stricte a reglementărilor, unor acțiuni țintite împotriva infrastructurilor de spălare a banilor și unei reticențe crescute a firmelor mari de a plăti răscumpărări.
Consecințele acestor factori sunt evidente: operatorii de ransomware sunt presați să-și schimbe țintele și tacticile, orientându-se către victime mai mici, unde probabilitatea unui plăți rapide este considerată mai mare, dar sumele obținute sunt, de regulă, mai mici. În plus, intensificarea măsurilor de conformitate AML (anti-money laundering) și cooperarea transfrontalieră între agențiile de aplicare a legii au redus opțiunile pentru spălarea rapidă a fondurilor în criptomonede, sporind riscul ca atacatorii să fie urmăriți prin analiză blockchain și recuperarea parțială a activelor.
Pe de altă parte, datele publice pot subestima sumele reale dacă părți din plăți sunt convertite rapid în numerar sau tranzacționate prin platforme off‑chain sau servicii de custodiere necooperante. Totuși, tendința generală arată o presiune asupra ecosistemului infracțional care utilizează criptomonedele pentru a monetiza atacurile cibernetice.
Ținte mai mici, randamente în scădere
Experții citați în raport observă o pivotare structurală către întreprinderile mici și mijlocii (IMM-uri). Corsin Camichel, fondatorul eCrime.ch, sintetizează tendința: atacatorii prioritizează volumul în locul breșelor care atrag titluri de presă, mizând pe ipoteza că victimele mici vor plăti rapid pentru a-și restabili operațiunile. Strategia „many small hits” înlocuiește adesea atacurile mari, coordonate, care generează sume mari, dar sunt mai riscante din punct de vedere operațional.
Chainalysis arată însă că, în ciuda unui vârf istoric în declarațiile publice de extorcare, plățile totale sunt în coborâre — un semn că adversarii „muncesc mai mult pentru randamente în scădere”. Pentru profesioniștii care monitorizează economia ransomware, urmărirea fluxurilor de bitcoin, analiză blockchain și managementul riscului crypto, aceste schimbări sunt semnificative: ele afectează calculul cost‑beneficiu al atacurilor și prioritizează protecția IMM-urilor, sector care rămâne vulnerabil din cauza resurselor limitate pentru securitate cibernetică.
În practică, aceasta înseamnă că echipele de securitate trebuie să adapteze programele de protecție, să includă evaluări de risc orientate local și să implementeze controale proporționale cu riscul. De asemenea, furnizorii de servicii de recuperare și asigurare cibernetică (cyber insurance) își pot ajusta primele și condițiile, având în vedere frecvența crescută dar valoarea medie a pagubelor în scădere.
Factori determinanți: acces mai ieftin, instrumente AI și suprasaturare
Raportul leagă valul de atacuri încercate de prăbușirea prețului mediu pentru „accesul la victimă” pe dark web, care a scăzut de la 1.427 USD la începutul lui 2023 până la aproximativ 439 USD la începutul lui 2026. Această scădere masivă reflectă un influx de kituri ransomware ieftine, jurnale (logs) infostealer abundente, pipeline-uri industrializate de acces și unelte asistate de inteligență artificială care au redus bariera de intrare pentru actorii rău intenționați.
Supraproducția (oversupply) de „inventar” accesibil, dar cu limitări operaționale, a inundat piața și a comprimat prețurile. Practic, pe aceeași piață apar tot mai mulți atacatori cu resurse reduse, care concurează pentru victimele vulnerabile, ceea ce crește frecvența incidentelor dar scade suma medie obținută per atac.
În plus, instrumentele AI și automatizarea facilitează fazele de recunoaștere (reconnaissance) și de escaladare a accesului, permițând operarea la scară mai mare cu echipe reduse. Aceasta determină o dinamica a pieței crimei cibernetice similară piețelor legitime: eficiență tehnologică + presiune concurențială = prețuri mai mici și volume mai mari.
În contextul acestor forțe, există riscuri operaționale specifice: fragilitate a lanțului de aprovizionare software, proliferare de credențiale compromise, creșterea atacurilor bazate pe accesul inițial vândut pe forumuri clandestine și utilizarea AI pentru a facilita spearfishing și generare de conținut de înșelătorie. Toate acestea sporesc necesitatea unor controale de securitate proactive, monitorizare continuă și colaborare cu furnizorii de analiză blockchain pentru a detecta fluxurile suspecte de valoare.
Pierderile anuale on‑chain din ransomware începând cu 2020.
Exploituri crypto și înșelătorii rămân o amenințare majoră
Deși plățile on‑chain pentru ransomware s-au temperat ușor, pierderile legate de criptomonede continuă să se acumuleze în 2026 prin exploituri și escrocherii (scams). Firma de securitate cibernetică CertiK a raportat 370,3 milioane de dolari furați doar în ianuarie, iar campaniile de phishing au reprezentat 311,3 milioane din această sumă. Aceasta subliniază faptul că amenințările legate de DeFi, vulnerabilitățile în contracte inteligente și atacurile de inginerie socială rămân în topul riscurilor pe piața crypto.
Combinarea acestor vectori — inginerie socială, slăbiciuni DeFi și phishing — arată că analiza blockchain (blockchain analytics) și securitatea operațională solidă sunt esențiale pentru schimburi (exchanges), custodianti, furnizori de portofele și deținătorii instituționali de criptomonede. Tehnici precum urmărirea fluxurilor de bitcoin, identificarea pattern‑urilor de spălare a banilor, clusteringul adreselor și utilizarea inteligenței artificiale pentru detectarea anomaliilor tranzacționale sunt instrumente cheie în această luptă.
Mai mult, riscul reputațional și expunerea contracțională cresc pentru platformele care nu implementează controale KYC/AML adecvate sau proceduri de due diligence la integrarea noului on‑ramps/off‑ramps. Investitorii instituționali și furnizorii de servicii financiare care se bazează pe criptomonede trebuie să pună accent pe asigurarea lanțurilor de custodie, segregarea fondurilor și planuri de răspuns la incidente care includ colaborarea cu furnizorii de analiză blockchain pentru a urmări și a bloca fondurile frauduloase.
Ce înseamnă asta pentru ecosistemul crypto
Pentru companiile din domeniul blockchain și pentru echipele de securitate, concluzia este dublă: pregătiți‑vă pentru o frecvență mai mare a atacurilor și prioritizați prevenția în detrimentul negocierilor pentru răscumpărări. Investițiile în răspuns la incidente, backup‑uri robuste, autentificare multi‑factor, segmentare a rețelei și monitorizare proactivă pe blockchain pot reduce expunerea și pot limita impactul atacurilor.
Acțiunile concrete recomandate includ:
- Implementarea de politici stricte de backup și proceduri de testare a restaurării (DR/BCP) pentru a reduce nevoia de plata ransom în caz de criptare masivă a datelor.
- Adoptarea autentificării multi‑factor (MFA) și a controalelor de acces bazate pe roluri (RBAC) pentru a limita escaladarea privilegiilor și accesul lateral.
- Creșterea vizibilității prin monitorizare continuă a rețelei și a activităților de pe blockchain, cu fluxuri de alertare integrate în playbook‑urile de incident response.
- Colaborarea cu furnizorii de analiză blockchain pentru urmărirea fondurilor și blocarea portofelelor suspecte, precum și cu autoritățile pentru raportarea activităților infracționale.
- Implementarea unor programe de securizare a lanțului de aprovizionare software (SBOM, verificări de integritate), pentru a reduce riscul apariției unor exploituri bazate pe componente terțe compromise.
Regulatorii, forțele de ordine și furnizorii de analiză on‑chain vor continua probabil să modeleze economia ransomware și infracțiunile facilitate de criptomonede. O cooperare internațională mai strânsă, sancțiuni coordonate și blocaje de portofele asociate rețelelor de spălare pot reduce rentabilitatea acestor activități infracționale. În același timp, inovațiile defensive, instrumentele de tip blockchain forensics și adoptarea celor mai bune practici de securitate pot slăbi eficiența modelelor de business ale operatorilor ransomware.
De asemenea, piețele legitime trebuie să rămână vigilente: furnizorii de infrastructură cripto, exchange‑urile și portofelele trebuie să investească în capacități de investigare internă, să mențină canale clare pentru raportarea incidentelor și să participe la inițiativele sectoriale de sharing al informațiilor (ISAC/ISAO) pentru a îmbunătăți detecția timpurie și schimbul de informații despre indicatori de compromitere (IOCs).
În final, indivizii și organizațiile care operează cu criptomonede trebuie să trateze riscul ransomware și fraudele crypto ca pe un element permanent al peisajului de risc: educație continuă, proceduri de securitate bine documentate și colaborare cu experți în securitate cibernetică și cu firme de analiză blockchain reprezintă elemente esențiale pentru reducerea expunerii și pentru protejarea activelor digitale.
Pe termen mediu, este rezonabil să ne așteptăm la o consolidare a pieței de servicii de securitate crypto, la îmbunătățiri în detecția automată a activităților ilicite pe lanț și la o presiune continuă asupra rețelelor de spălare a banilor. Aceasta ar putea reduce, gradual, atractivitatea criptomonedelor ca instrument de monetizare a infracțiunilor, fără a elimina complet riscul asociat.
Sursa: cointelegraph
Lasă un Comentariu