Dlaczego generatywna sztuczna inteligencja napędza ataki ransomware za pomocą funkcji językowych, a nie złośliwego kodu?

Przestępcy stale udoskonalają swoje ataki, co widzimy w przypadku oprogramowania ransomware. Liczba ataków ransomware wzrosła o 73% w drugim kwartale 2023 r. w porównaniu z poprzednim kwartałem. Eksperci do spraw cyberbezpieczeństwa spekulują, że powodem tego nagłego wzrostu może być powszechność narzędzi wykorzystujących sztuczną inteligencję, takich jak Chat GPT. Biorąc pod uwagę, że wysokość średniego okupu po infekcji ransomware w 2022 r. wyniosła 4,7 mln dolarów, logiczne jest, że ugrupowania cyberprzestępcze będą otwarte na przyjęcie nowych sposobów czerpania korzyści, w tym także tych wykorzystujących AI.

Czy można napisać złośliwy kod za pomocą ChatGPT?

Jeśli uwierzymy nagłówkom i szumowi medialnemu, przyszłość rysuje się w ponurych barwach. Oznaczałoby to, że sztuczna inteligencja może pomóc cyberprzestępcom znacznie przyspieszyć ataki i stworzyć tak zaawansowane skrypty i oprogramowanie ransomware, że firmy i organizacje rządowe staną się bezbronne. Jednak jaka jest prawda?

Rzeczywistość jest taka, że generatywne narzędzia sztucznej inteligencji – takie jak ChatGPT – mogą być wykorzystywane jako pomoc w przeprowadzaniu ataków, ale w bardzo specyficzny sposób. Jednak nie zmienia to faktu, że organizacje muszą wiedzieć, w jaki sposób ta nowa technologia będzie wykorzystywana, aby lepiej się przed nimi przygotować i bronić.

Mit: sztuczna inteligencja zostanie wykorzystana do napisania kodu ransomware

Generatywna sztuczna inteligencja stała się głównym źródłem obaw na rynku cyberbezpieczeństwa. Narzędzia do pisania kodu ChatGPT i AI, takie jak Copilot, radykalnie obniżyły barierę wejścia w sztukę pisania kodów, skryptów i małych aplikacji. Istnieje obawa, że narzędzia te można wykorzystać do napisania jeszcze skuteczniejszego oprogramowania ransomware i wyrafinowanego złośliwego oprogramowania, które będzie w stanie uniknąć wykrycia.

W rzeczywistości nie stanowi to większego problemu ze względu na niepraktyczność i zawodność stosowanych narzędzi (przynajmniej na razie).

„Grupy zajmujące się oprogramowaniem ransomware odzwierciedlają praktyki legalnych firm” – mówi Martin Zugec, dyrektor ds. rozwiązań technicznych w Bitdefender. „Mogą skutecznie kierować przedsiębiorstwami przestępczymi, stosując stosunkowo proste techniki. Dlaczego więc ugrupowania zagrażające miałyby być zmotywowane do rozważenia przyjęcia bardziej złożonych metod, skoro prostsze nadal dają rezultaty?” Przyjęcie narzędzi, takich jak ChatpGPT można postrzegać jako ryzykowną propozycję. Programy te stale ewoluują i się aktualizują. Dostęp do nich może być w pewnym momencie utrudniony, a ich integracja może wprowadzić niepotrzebną złożoność do już funkcjonującego ekosystemu.

Podobnie jak organizacje, grupy zajmujące się oprogramowaniem ransomware muszą dołożyć należytej staranności, jeśli zamierzają włączyć jakiekolwiek nowe narzędzia do swoich działań. Muszą mieć pewność, że te programy nie narażają ich na ryzyko, zwłaszcza biorąc pod uwagę zmianę liczby ataków ransomware. Kolejnym mitem związanym ze złośliwym oprogramowaniem generowanym przez sztuczną inteligencję jest to, że kod może być dynamiczny i stale się zmieniać. W rzeczywistości prawie każde złośliwe oprogramowanie, z którym się obecnie spotykamy, ma charakter dynamiczny; era statycznego złośliwego kodu należy już do przeszłości. Na przykład Bitdefender Labs co minutę radzi sobie z około 400 nowymi zagrożeniami, a cyberprzestępcy rutynowo dostosowują i rozwijają swoje złośliwe oprogramowanie, korzystając z repozytoriów kodu, takich jak GitHub.

„Większość grup zajmujących się oprogramowaniem ransomware koncentruje się częściej na eksfiltracji danych niż ich szyfrowaniu” – mówi Sean Nikkel, dyrektor ds. badań nad zagrożeniami i raportowania w Bitdefender. Jest to znacznie bardziej wydajne i eliminuje ryzyko, że deszyfrator nie zadziała, co może mieć wpływ na reputację grup zajmujących się oprogramowaniem ransomware.

„Grupy zajmujące się oprogramowaniem ransomware muszą działać w dobrej wierze” – mówi Nikkel. „Jeśli po otrzymaniu okupu nie uda im się odszyfrować plików firmy, ich reputacja ucierpi i będzie im trudno nakłonić inne firmy do zapłacenia okupu, ponieważ zaufają one tej grupie przestępczej.”

Zatem jest mało prawdopodobne, aby grupy zajmujące się oprogramowaniem ransomware polegały na generatywnej sztucznej inteligencji przy tworzeniu złośliwego oprogramowania lub ransomware, ponieważ ryzyko jest zbyt wysokie, a zysk nie jest wystarczająco duży.

Prawda: sztuczna inteligencja będzie napędzać zjawisko phishingu, które do tej pory było ograniczone barierami językowymi i niedoskonałościami translatorów

Generatywna sztuczna inteligencja będzie dobrodziejstwem dla hakerów, którzy nie władają językiem swoich potencjalnych ofiar. E-maile phishingowe często można rozpoznać po złej gramatyce, literówkach i ogólnie nienaturalnym stylu pisania. Jednak dzięki odpowiednim podpowiedziom oszuści mogą z łatwością użyć narzędzia, takiego jak ChatGPT do generowania naturalnie brzmiących wiadomości e-mail phishingowych i poprawy wskaźnika skuteczności.

Oznacza to, że ataki ransomware przeprowadzane za pośrednictwem wiadomości e-mail typu phishing, prawdopodobnie wzrosną i mogą być skuteczniejsze, ponieważ tekst maili będzie doskonalszy. W rezultacie oszuści niskiego szczebla mogą zalać skrzynki odbiorcze wieloma e-mailami phishingowymi wygenerowanymi w prawie każdym języku.

„Kim są dzisiaj oszuści, którzy mają barierę wejścia, ponieważ nie mówią dobrze po angielsku lub nie znają terminologii specyficznej dla branży?” – pyta Zugec. „To oszuści, którym pomoże ChatGPT.”

Na co zwrócić uwagę: Ukierunkowane ataki polegające na podszywaniu się pod inne osoby za pośrednictwem generatywnej sztucznej inteligencji

Ukierunkowane ataki ransomware mogą również wykorzystywać ChatGPT, ponieważ można go wytrenować w zakresie modelowania określonych stylów pisania, co sprzyja atakom polegającym na podszywaniu się pod inne osoby. Na przykład grupa zajmująca się oprogramowaniem ransomware może przeszkolić ChatGPT, aby nauczył się stylu pisania dyrektora naczelnego firmy, na którego szykują pułapkę. Można to zrobić, jeśli uzyskają e-maile dyrektora lub jeśli udziela się w Internecie, co jest bardzo prawdopodobne.

Następnie mogą skierować narzędzie sztucznej inteligencji, aby tworzyło e-maile w stylu danej osoby, dzięki czemu podszywające się pod phishing e-maile będą o wiele bardziej przekonujące dla jego pracowników.

Ten przypadek użycia może być szczególnie niebezpieczny, ponieważ skraca jeden z najbardziej czasochłonnych elementów ukierunkowanych ataków polegających na podszywaniu się pod inne osoby. Grupa zajmująca się oprogramowaniem ransomware może nie mieć możliwości pisania w stylu innej osoby, ale dzięki generatywnej sztucznej inteligencji jest w stanie to zrobić w ciągu zaledwie kilku godzin. Może to prowadzić do bardziej skalowalnej operacji, dlatego wpływowi członkowie kadry kierowniczej, organizacje i ściśle ukierunkowane branże mogą odnotować wzrost liczby ataków typu phishing polegający na podszywaniu się pod inne osoby, które mogą prowadzić do oprogramowania ransomware, ataków BEC i innych.

Solidne cyberbezpieczeństwo: Twoja najlepsza obrona

Chociaż fakt, że aplikacje AI wpadły w niepowołane ręce, może niepokoić, to jednak musimy pamiętać także o tym, że dysponujemy możliwościami i technologią, aby bronić się przed tymi nowatorskimi atakami, a wiele podstawowych podejść do cyberbezpieczeństwa nadal ma zastosowanie.

„Organizacje nie powinny polegać tylko na jednej technologii” – mówi Nikkel. „Dogłębna obrona jest nadal ważna w obronie przed oprogramowaniem ransomware”.

„Podejście Zero Trust i [posiadanie] warstwowych zabezpieczeń to nadal doskonałe opcje” – dodaje Zugec. „Te strategie mają być proaktywne i dostosowywać się do nowych rodzajów ataków, więc będą miały zastosowanie tutaj”.

Aby bezpośrednio zaradzić ryzyku związanemu z wiadomościami phishingowymi wykorzystującymi sztuczną inteligencję, organizacje powinny priorytetowo potraktować zaawansowane technologie wykrywania i reagowania. Ponieważ wykrywanie ludzi jest obecnie mniej niezawodne, firmy powinny zastanowić się, jak ograniczyć ryzyko i zapobiec dalszym szkodom po włamaniu, niezależnie od tego, czy chodzi o znalezienie nieautoryzowanego użytkownika w sieci, czy o znalezienie i zabezpieczenie aktywnej aplikacji ransomware, zanim będzie ona mogła zainfekować najbardziej wrażliwe dane.

Wreszcie organizacje mogą zatrudniać dostawców zarządzanego wykrywania i reagowania EDR i XDR, którzy mogą oferować pomoc w zapewnieniu cyberbezpieczeństwa 24 godziny na dobę, 7 dni w tygodniu, jednocześnie wdrażając funkcje proaktywnego wyszukiwania zagrożeń w swoich środowiskach. Ci zewnętrzni dostawcy oferują kompleksowe usługi w zakresie ochrony, dzięki którym możesz mieć kompleksową strategię cyberbezpieczeństwa.

Nie daj się nabrać na FUD AI. Tak, można je wykorzystać do ulepszenia i udoskonalenia istniejących ataków oprogramowania ransomware, ale grupa hakerska posiadająca odpowiednie narzędzia, partnerów i strategię cyberbezpieczeństwa może pokonać te zagrożenia.