Ransomware u 2026: Da li je vaša kompanija spremna za nove taktike napada? 

Sadržaj

Ransomware je vrsta napada koja ne usporava, već menja oblik i postaje sve opasnija. Tendenciju rasta i profesionalizacije ransomware-a detektuju i najnoviji izveštaji vodećih istraživačkih timova u oblasti sajber bezbednosti. Na osnovu njih može se zaključiti da je ransomware ušao u novu fazu koja za organizacije znači veći rizik nego ikada do sada. U PULSEC-u pratimo ove trendove i direktno ih vidimo u podacima iz svog bezbednosno – operativnog centra. Evo šta treba da znate.

 

Ransomware i dalje na istorijskom maksimumu

Prema Check Point Research izveštaju za Q1 2026, u prvom kvartalu ove godine zabeleženo je da se podaci  2.122 pogođene organizacije mogu naći na ransomware data leak sajtovima, što je drugi najviši Q1 od kada se ovi podaci prate, 117% iznad Q1 2024. Kada se ukloni efekat jedne masovne eksploatacione kampanje koja je uticala na prošlogodišnje podatke, aktivnost ransomware grupa u stvari raste iz godine u godinu.

Brojke su visoke, čak i kada ih posmatramo na mesečnom nivou. Američka tehnološka kompanija, specijalizovana za rano upozoravanje, Dataminr u svom 2026 Cyber Threat Landscape izveštaju beleži porast od 225% u mesečnim alert-ima vezanim za pretnje, uz praćenje više od 5.000 akter grupa i 18.000+ ransomware incidenata. To su razmere koje govore da je industrija ransomware-a postala dobro organizovana kriminalna infrastruktura. Dakle, nema perioda „odmora“.

 

Manje grupa, a veće štete

Jedan od ključnih zaokreta u 2026. godini jeste konsolidacija ransomware ekosistema. Posle perioda fragmentacije u kome je broj aktivnih ransomware grupa rastao, trend se preokrenuo.

Prema ranije pomenutom Check Point istraživanju, top 10 ransomware grupa odgovorno je za 71% svih napada u Q1 2026. Policijske akcije su uništile neke grupe, ali ne i osobe koje su za njih radile. Njihovi saradnici su se jednostavno preselili kod konkurencije.

Najaktivnija operacija ostaje Qilin i ona je treći uzastopni kvartal na prvom mestu (338 oštećenih organizacija). Sledi, relativno nova grupa, The Gentlemen, koja je sa 40 pogođenih organizacija u četvrtom kvartalu 2025. godine skočila na 166 u Q1 2026. Njihov model rasta zasniva se na unapred kompromitovanim pristupnim tačkama, što im omogućava da ne troše vreme na inicijalnu eksploataciju, već napadaju odmah i to mnogo sistema odjednom.

LockBit je sa 163 pogođene organizacije, ponovo ušao u globalni vrh napadača. Radi se o povratku koji potvrđuje da čak ni direktne policijske akcije ne eliminišu ransomware operacije. One se jednostavno reorganizuju.

Konsolidacija smanjuje broj aktivnih aktera, ali povećava prosečan uticaj svakog pojedinog napada. Preostale grupe su iskusnije, bolje finansirane i operativno zrelije.

 

Napadač je u sistemu duže nego što ste mislili

Jedan od najvažnijih nalaza izveštaja M-Trends kompanije Mandiant za 2026. tiče se toga kako napadači uopšte ulaze u sisteme pre nego što se ransomware ikada aktivira.

Mandiant beleži da prethodno kompromitovanje (prior compromise) čini 30% inicijalnih vektora infekcije, što je duplo više u odnosu na prethodnu godinu (15%). Iza toga stoje Initial Access Brokeri (IAB), specijalizovani akteri čija je jedina uloga da kompromituju okruženje i pristup prodaju dalje.

Ovaj model deli posao u dve faze:

  • IAB faza: dugoročno kompromitovanje, prikupljanje pristupa
  • Ransomware faza: brzo, destruktivno izvršenje, sa već otvorenim vratima

 

Pre nego što se ransomware pokrene, napadač je možda već nedeljama ili mesecima u vašem sistemu. SOC monitoring koji PULSEC pruža 24/7 upravo je dizajniran da detektuje opasnost u trenutku kada se napad još može zaustaviti.

 

Unmanaged uređaji: slepa tačka u svakom okruženju

CrowdStrike Global Threat Report za 2026. Ukazuje na jednu činjenicu, koja bi trebalo da bude u fokusu svakog security tima: napadači sistematski traže uređaje bez XDR pokrivenosti.

Dokumentovani su slučajevi gde su tokom trosatnog napada akteri interagovali sa samo jednim managed endpointom, dok su ostatak operacije vodili kroz nemonitorisane sisteme. U nekim slučajevima napadači su kreirali nove virtuelne mašine i operisali potpuno izvan XDR telemetrije. U jednom dokumentovanom slučaju, lansirna tačka za distribuciju ransomware-a bila je nezakrpljena web kamera na korporativnoj mreži.

Svaki uređaj priključen na mrežu koji nema agent potencijalna je površina napada. Pitanje: „Koliki procenat naših hostova ima pokrivene agente?“ nije samo IT operativno pitanje, već bezbednosno pitanje.

 

Veštačka inteligencija kao pomoć napadačima

AI je prestao da bude teorijska pretnja i postaje operativna realnost u rukama napadača.

Tako, primera radi, Palo Alto Networks Global Incident Response Report za 2026. navodi konkretne primere: od AI-generisanih logoa ugrađenih u HTML data leak sajtova, do dokumentovanih slučajeva gde ransomware grupe koriste AI alate za planiranje i izvođenje kompletnih kampanja.

U operativnoj praksi to izgleda ovako: phishing poruke više nisu loše napisane. Gramatički su besprekorne, kontekstualno relevantne i prilagođene osobama koje targetiraju, što ih čini znatno težim za detekciju.

Ovo ima konkretne posledice za awareness programe. Tradicionalna edukacija koja uči zaposlene da prepoznaju loše napisan phishing mejl više nije dovoljna. Stoga se preporučuje redovno ažuriranje awareness treninga koji uzima u obzir AI-generisane pretnje i prilagođava testove realnoj slici napada.

 

Identitet kao vektor napada

Ranije pomenuti Palo Alto Networks izveštaj svrstava identitet među ključne faktore koji napadačima donose uspeh. Cloud IAM platforme sve češće se postavljaju bez potpune konfiguracije. Preoptimizovani nalozi i servisni nalozi koji rade sa visokim privilegijama, ostaju izuzetno rašireni. Zero Trust principi se puno pominju, ali se retko u potpunosti implementiraju.

Infostealer malveri na privatnim uređajima zaposlenih sve su češća ulazna tačka za korporativne kompromitacije. Ako zaposleni koristi isti pregledač za posao i privatno, a infostealer pokupi session cookie ili lozinku, korporativni nalog može biti kompromitovan bez ikakvog direktnog napadačkog prisustva unutar mreže.

 

Šta bi security timovi trebalo da urade?

Na osnovu svih navedenih izveštaja i podataka mogu se dati sledeće preporuke.

  • Zatvoriti XDR coverage gap – Inventar svakog uređaja u mreži mora biti potpun i aktuelan. Ako ne možete sa sigurnošću odgovoriti koji procenat hostova ima agente, to je ranjivost.
  • Ozbiljno shvatiti infostealere – Ako je na privatnom uređaju zaposlenog pronađen infostealer, svi kredencijali koji su ikada korišćeni na tom uređaju moraju biti rotirani, uključujući korporativne.
  • Primeniti least-privilege principe u cloud IAM okruženjima. 
  • Aktivno loviti unmanaged hostove 
  • Redovno ažurirati awareness treninge – Programi moraju pratiti stvarne napade, a to znači i one AI generisane.

Ransomware, pretnja koja će rasti

Zajednički imenilac svih izveštaja je da ransomware nije pretnja koja se smiruje. Naprotiv, ona se profesionalizuje. Manji broj grupa, sa više resursa, boljom organizacijom i AI alatima, operišu sa prethodno pripremljenim pristupima, strpljivo čekajući pravi trenutak za napad.

PULSEC iz svog SOC-a direktno potvrđuje da su upravo ovo scenariji koji prave najveću štetu. Incident se detektuje brzo. Problem nastaje kada organizacija nije u stanju da brzo reaguje.

Ako želite da razumete koliko je vaša organizacija izložena ili da proverite da li su vaše kontrole na visini zadatka, kontaktirajte PULSEC tim. Možete istražiti i konkretne servise koji adresiraju opisane pretnje uključujući SOC monitoring i detekcijuThreat Hunting i Incident Response.

 

 

 

Podelite tekst:
Pogledajte još i...