Évekig a zsarolóvírusos titkosítás volt a kibertámadások leglátványosabb jele: zárolt rendszerek, leálló működés, azonnali károk.
De mi van akkor, ha ma már a legveszélyesebb támadások azok, amelyek soha nem jelzik jelenlétüket?
A Picus Labs által publikált Red Report 2026 – amely több mint 1,1 millió rosszindulatú fájl és 15,5 millió támadói művelet elemzésén alapul – egyértelmű trendváltást mutat:
a támadók már nem a pusztításra optimalizálnak, hanem a tartós jelenlétre (residency).
A modern fenyegetések nem betörnek és rombolnak.
Csendben bent maradnak.
Hitelesítő adatokat, jogosultságokat, identitás-infrastruktúrát „fogyasztanak”.
Olyanok, mint digitális paraziták.
🔐 A zsarolóvírus jelzése halványul
A zsarolóvírus nem tűnt el – de szerepe átalakul.
A jelentés szerint a Data Encrypted for Impact (T1486) technika 2025-ben 38%-kal csökkent (21%-ról 12,94%-ra).
Ez nem képességcsökkenés. Ez stratégiai döntés.
A támadók ma inkább:
- Csendben adatot exfiltrálnak
- Hitelesítő adatokat és tokeneket gyűjtenek
- Hosszú távú hozzáférést építenek ki
- Később alkalmaznak zsarolást, nem azonnali leállítást
A hatás már nem downtime-ban mérhető.
Hanem felderítetlen jelenlétben.
🧠 A hitelesítő adatok lettek az irányítóközpont
A tartós jelenléthez stabil kontroll kell. Ezt az identitás biztosítja.
A jelentés szerint a Credentials from Password Stores (T1555) technika az esetek 23,49%-ában szerepelt – közel minden negyedik támadásban.
Célpontok:
- Böngészőben mentett jelszavak
- Keychain-ek
- Jelszókezelők
Miután a támadók érvényes hitelesítő adatokhoz jutnak, gyakran nincs szükség exploitokra. A natív adminisztrációs eszközök elegendők a laterális mozgáshoz és jogosultságkiterjesztéshez.
Ez a digitális parazita lényege:
nincs zaj, nincs riasztás, nincs összeomlás.
Csak hosszan tartó, csendes hozzáférés.
👁 A láthatatlanság lett a siker mércéje
A MITRE ATT&CK keretrendszer szerinti top 10 technika közül 8 elsősorban rejtőzködést, perzisztenciát vagy észrevétlen C2 kommunikációt támogat.
Érintett technikák például:
- Process Injection (T1055)
- Boot or Logon Autostart Execution (T1547)
- Application Layer Protocols (T1071)
- Virtualization and Sandbox Evasion (T1497)
A cél nem az azonnali hatás.
A cél az időtartam maximalizálása (dwell time).
🧬 A malware, amely nem hajlandó megfigyelhetővé válni
A modern kártevők egy része már nemcsak elrejtőzik – hanem aktívan ellenőrzi, hogy megfigyelés alatt áll-e.
A jelentés kiemel egy példát: a LummaC2 malware az egérmozgás geometriáját elemezte (Euklideszi számításokkal), hogy megkülönböztesse az emberi aktivitást az automatizált sandbox környezettől.
Ha mesterségesnek ítélte a környezetet, egyszerűen nem aktiválódott.
A tétlenség is lehet evasion technika.
🤖 AI: evolúció, nem forradalom
Bár sok szó esik AI-alapú támadásokról, a jelentés nem talált drasztikus növekedést autonóm AI-malware-ben.
A támadók továbbra is jól bevált technikákat használnak:
- scripting interpreters
- process injection
- natív eszközök
Az AI inkább gyorsító eszköz, nem önálló döntéshozó rendszer.
A digitális parazita modellhez nem kell áttörő intelligencia.
Elég a türelem, a rejtőzködés és a hiteles hozzáférés.
🛡 Mit jelent ez a védelem számára?
A védekezés fókuszának változnia kell.
Nem a zajt kell figyelni.
A csendet kell érteni.
Prioritások:
- Identitás-alapú monitorozás
- Jogosultság-anomáliák észlelése
- Hosszú távú viselkedéselemzés
- Defense-evasion detektálás
A 2026-os fenyegetési környezetben a legveszélyesebb támadó nem az, aki titkosít.
Hanem az, aki már bent van.
📘 Teljes jelentés
A részletes adatok és technikai elemzések elérhetők a Picus Red Report 2026 kiadványban.
