Rapoarte

Raportul KELA privind Starea Cibercriminalității 2026: Amenințări Emergente și Previziuni

mm
Publicat
Actualizat

Cibercriminalitatea nu se mai limitează la scalare, ci evoluează la nivel structural. Conform Raportului privind Starea Cibercriminalității 2026: Amenințări Emergente și Previziuni de la KELA, atacatorii se îndreaptă de la metodele tradiționale de intruziune către abuzul de identitate, automatizarea bazată pe inteligență artificială și exploatarea la scară largă a sistemelor bazate pe încredere.

Raportul prezintă o imagine dură a anului 2025 ca punct de cotitură. Cibercriminalii nu mai sparg rețele, ci se autentifică, adesea utilizând credențiale furate, agenți de inteligență artificială și sisteme de încredere de la terți pentru a ocoli complet apărările.

Un an fără precedent pentru cibercriminalitate

Scara cibercriminalității în 2025 a atins niveluri fără precedent. KELA a urmărit 2,86 miliarde de credențiale compromise la nivel global, cuprinzând malware de tip infostealer, baze de date de breșe și piețe subterane.

Aceste credențiale au devenit principala poartă de intrare pentru atacatori. În loc să exploateze vulnerabilități, actorii de amenințări se bazează din ce în ce mai mult pe accesul legitim, făcând modelele de securitate bazate pe perimetru învechite.

În același timp, atacurile de tip ransomware au crescut dramatic. Raportul a identificat 7.549 de victime ale atacurilor de ransomware în 2025, reprezentând o creștere de 45% față de anul precedent, cu peste 53% dintre victime localizate în Statele Unite.

Această creștere este alimentată de o economie a cibercriminalității în plină expansiune. Au existat 147 de grupuri active de ransomware, incluzând aproximativ 80 de noi intrări, subliniind cât de scăzută este bariera de intrare.

Epidemia infostealerilor, motorul tuturor

La baza acestei creșteri se află ascensiunea malware-ului de tip infostealer, considerat acum coloana vertebrală a cibercriminalității moderne.

KELA a observat aproximativ 3,9 milioane de mașini infectate la nivel global în 2025, generând 347,5 milioane de credențiale direct din infecțiile cu malware.

Ecosistemul mai larg amplifică acest lucru în mod dramatic, cu miliarde de credențiale care circulă pe piețele cibercriminalității. Acestea sunt apoi revândute grupurilor de ransomware, brokerilor de acces inițial și actorilor de stat.

Datele relevă o schimbare critică în ceea ce privește țintirea. Peste 75% din credențialele compromise sunt legate de servicii de valoare ridicată, cum ar fi platformele de cloud pentru afaceri (19,6%), sistemele CMS (18,7%), serviciile de e-mail (15,3%) și sistemele de autentificare (12,9%).

Acest accentuare evidențiază o strategie clară: atacatorii prioritizează platformele care permit mișcarea laterală și compromiterea completă a organizațiilor.

macOS nu mai este sigur: o creștere de 7.000%

Una dintre cele mai izbitoare constatări este prăbușirea asumpțiilor de lungă durată cu privire la securitatea platformelor.

Infecțiile cu macOS au crescut de la sub 1.000 de cazuri în 2024 la peste 70.000 în 2025, reprezentând o creștere de 7.000%.

Acest exploziv este alimentat de comercializarea malware-ului sub formă de serviciu, în special unelte precum Atomic Stealer, care fac ca și atacatorii cu abilități scăzute să poată ținti dispozitive Apple la scară largă.

Implicația este clară: nicio platformă nu mai este în mod inerent sigură. Atacatorii urmăresc valoarea, iar ecosistemele Apple sunt acum ferm în vizorul lor.

Inteligența artificială devine o nouă suprafață de atac

Cea mai semnificativă schimbare prezentată în raport este integrarea profundă a inteligenței artificiale în ciclul de viață al atacurilor cibernetice.

KELA identifică o tranziție de la atacuri asistate de inteligență artificială la operațiuni complet autonome, conduse de agenți, unde 80% până la 90% din sarcini pot fi executate cu implicare umană minimă.

Un concept cheie care emerge din această schimbare este „atacul de tip vibe hacking”. În loc să spargă sistemele de inteligență artificială, atacatorii le manipulează prin prezentarea acțiunilor maligne ca sarcini legitime. Acest lucru permite agenților de inteligență artificială să execute operațiuni dăunătoare fără a declanșa mecanismele de securitate.

Raportul subliniază, de asemenea, cazuri din lumea reală în care sistemele de inteligență artificială au fost compromise prin injecția de prompt și manipulare indirectă. Într-un caz, agenții de inteligență artificială autonome au efectuat recunoașterea, au dezvoltat cod de exploatare și au executat atacuri asupra mai multor ținte cu supraveghere umană limitată.

Acest lucru marchează o schimbare fundamentală. Inteligența artificială nu mai este doar un instrument pentru atacatori, ci și o armă și o țintă.

Ransomware-ul evoluează în extorsionare la scară industrială

Ransomware-ul nu mai este o tactică singulară, ci un model de afaceri pe scară largă.

Majoritatea atacurilor se bazează acum pe extorsionarea dublă, combinând furtul de date cu criptarea. Cu toate acestea, atacurile de extorsionare exclusivă sunt, de asemenea, în creștere, în care atacatorii sări peste criptarea și se concentrează pe furtul și monetizarea datelor sensibile.

Ecosistemul este extrem de competitiv. Grupul principal, Qilin, a revendicat peste 1.100 de victime, urmat de Akira cu 761 de victime și Clop cu 523 de victime.

Aceste grupuri se bazează din ce în ce mai mult pe credențiale furate, în loc de exploatarea tehnică, adesea cumpărând acces de la brokeri subterani pentru a accelera atacurile.

Impactul economic este uluitor. O singură breșă la Jaguar Land Rover a rezultat în daune economice de 2,5 miliarde de dolari, incluzând opriri de producție și perturbări ale lanțului de aprovizionare care au afectat mii de întreprinderi.

Activismul informatic și geopolitica intensifică amenințările cibernetice

Cibercriminalitatea este din ce în ce mai strâns legată de conflictul global.

Activitatea de activism informatic a crescut cu 400% față de anul precedent, cu peste 3.500 de atacuri DDoS revendicate și peste 250 de grupuri noi apărute în 2025.

Aceste grupuri nu se mai limitează la defăcările de site-uri. Ei țintesc infrastructura critică, tehnologia operațională și sistemele industriale, creând consecințe în lumea reală.

În același timp, actorii de stat utilizează operațiunile cibernetice ca o unealtă de bază a strategiei geopolitice. Campaniile legate de tensiunile Rusia-Ucraina, Israel-Iran, SUA-China și Coreea de Nord demonstrează cum războiul cibernetic cuprinde acum spionajul, perturbarea și operațiunile financiare.

Atacurile lanțului de aprovizionare și prăbușirea încrederii

O altă tendință definitorie este ascensiunea atacurilor lanțului de aprovizionare.

În loc să țintească organizații individuale, atacatorii compromit furnizori, platforme SaaS și infrastructuri partajate pentru a obține acces la mii de victime downstream.

Într-un caz, un atac SaaS-la-SaaS a permis atacatorilor să pătrundă în mediile Salesforce ale mai multor companii utilizând token-uri OAuth furate, ocolind complet controalele de securitate tradiționale.

Acest lucru reflectă o schimbare mai amplă. Modelul „încredere implicită” devine o vulnerabilitate, deoarece atacatorii exploatează relațiile dintre sisteme, în loc de sistemele însele.

Exploatarea vulnerabilităților zero-day și sfârșitul ferestrei de corectare

Raportul subliniază, de asemenea, industrializarea exploatării vulnerabilităților.

În 2025, 238 de vulnerabilități au fost adăugate la catalogul de vulnerabilități exploatate cunoscute al CISA, față de 185 în anul precedent.

Atacatorii monetizează acum exploatarea vulnerabilităților mai rapid ca niciodată, adesea în câteva zile sau chiar ore de la divulgare. Piețele subterane vând kituri de exploatare complet armate, în loc de cod de demonstrație, reducând bariera pentru exploatarea de masă.

O nouă realitate a securității cibernetice

Constatarile din raportul KELA privind Starea Cibercriminalității 2026: Amenințări Emergente și Previziuni fac una lucru clar: securitatea cibernetică intră într-o nouă eră.

Identitatea este acum principala suprafață de atac. Inteligența artificială este atât o unealtă, cât și o vulnerabilitate. Relațiile de încredere dintre sisteme sunt folosite ca armă. Și viteza atacurilor depășește limitele modelelor de apărare tradiționale.

Organizațiile care continuă să se bazeze pe abordări de securitate legacy sunt din ce în ce mai expuse. Schimbarea către securitatea bazată pe identitate, arhitecturi zero-trust și apărări conștiente de inteligență artificială nu mai este opțională.

Pentru o analiză mai profundă a actorilor de amenințări, metodologiilor de atac și recomandărilor strategice, raportul complet, Starea Cibercriminalității 2026: Amenințări Emergente și Previziuni de la KELA, oferă o perspectivă cuprinzătoare asupra modului în care peisajul cibercriminalității evoluează și încotro se îndreaptă următoarea.

mm

Antoine este un lider vizionar și partener fondator al Unite.AI, condus de o pasiune neclintită pentru modelarea și promovarea viitorului inteligenței artificiale și roboticii. Antreprenor serial, el crede că inteligența artificială va fi la fel de disruptivă pentru societate ca și electricitatea și este adesea prins vorbind despre potențialul tehnologiilor disruptiv și AGI.

Ca futurist, el este dedicat explorării modului în care aceste inovații vor modela lumea noastră. În plus, el este fondatorul Securities.io, o platformă axată pe investiții în tehnologii de ultimă generație care redefinesc viitorul și reshapă întregi sectoare.