Η ενσωμάτωση των μοντέλων μεγάλων γλωσσών (LLM) σε λειτουργίες ransomware σηματοδοτεί μια κομβική αλλαγή στο τοπίο του εγκλήματος στον κυβερνοχώρο, λειτουργώντας ως ισχυρός επιχειρησιακός επιταχυντής παρά ως θεμελιώδης επανάσταση.
Αυτή η τεχνολογία μειώνει δραματικά τα εμπόδια εισόδου, επιτρέποντας ακόμη και σε φορείς χαμηλής ειδίκευσης να συγκεντρώνουν λειτουργικά εργαλεία και εξελιγμένη υποδομή Ransomware-as-a-Service (RaaS).
Κατά συνέπεια, το οικοσύστημα διασπάται. η εποχή των μονολιθικών καρτέλ σβήνει, αντικαθίσταται από τον πολλαπλασιασμό μικρότερων, ευκίνητων πληρωμάτων και εφήμερων ομάδων. Αυτές οι αλλαγές περιπλέκουν την απόδοση και αναγκάζουν τους υπερασπιστές να αντιμετωπίσουν ένα πιο θορυβώδες, πιο κατακερματισμένο περιβάλλον απειλής.
Οι φορείς επιθέσεων επεκτείνονται καθώς οι αντίπαλοι επαναχρησιμοποιούν τις εταιρικές ροές εργασίας για κακόβουλους σκοπούς.
Οι φορείς απειλών χρησιμοποιούν πλέον LLM για να αυτοματοποιήσουν τη δημιουργία πειστικών μηνυμάτων ηλεκτρονικού ψαρέματος και τοπικών σημειώσεων λύτρων που μιμούνται τέλεια τις γλώσσες των θυμάτων.
Επιπλέον, αυτά τα μοντέλα έχουν φέρει επανάσταση στη διαλογή δεδομένων, επιτρέποντας στους επιτιθέμενους να εντοπίζουν άμεσα επικερδείς στόχους εντός των χωματερών δεδομένων που έχουν διαρρεύσει, ανεξάρτητα από την αρχική γλώσσα.
Αυτή η ικανότητα εξαλείφει τα γλωσσικά τυφλά σημεία, επιτρέποντας στους χειριστές να κλιμακώσουν τις προσπάθειές τους για εκβιασμό παγκοσμίως και να μεγιστοποιήσουν τον αντίκτυπο των εισβολών τους χωρίς να αυξήσουν το αποτύπωμα πόρων τους.
Αναλυτές SentinelLabs αναγνωρισθείς ότι ένα κρίσιμο στοιχείο αυτής της επιτάχυνσης είναι η μετάβαση προς τοπικά μοντέλα ανοιχτού κώδικα για την παράκαμψη των προστατευτικών κιγκλιδωμάτων.
Στρατηγικός άξονας
Κατακερματίζοντας κακόβουλα αιτήματα σε καλοήθεις προτροπές ή χρησιμοποιώντας μη λογοκριμένα μοντέλα όπως το Ollama, οι εγκληματίες ελαχιστοποιούν αποτελεσματικά την τηλεμετρία του παρόχου και αποφεύγουν τους μηχανισμούς ανίχνευσης.
Αυτός ο στρατηγικός άξονας δίνει τη δυνατότητα στους επιτιθέμενους να διατηρούν λειτουργίες υψηλού ρυθμού, ενώ μειώνει την πιθανότητα οι κεντρικοί πάροχοι τεχνητής νοημοσύνης να επισημάνουν την υποδομή τους.
Μια ξεχωριστή εκδήλωση αυτής της τάσης είναι το QUIETVAULT, ένα εξελιγμένο στέλεχος κακόβουλου λογισμικού που εξοπλίζει τοπικά φιλοξενούμενα LLM σε περιβάλλοντα macOS και Linux.
Αντί να βασίζεται αποκλειστικά στη στατική αντιστοίχιση προτύπων, το QUIETVAULT αξιοποιεί τα εγκατεστημένα εργαλεία τεχνητής νοημοσύνης του θύματος για την εκτέλεση έξυπνης αναγνώρισης.
Το κακόβουλο λογισμικό εισάγει συγκεκριμένες προτροπές στο τοπικό μοντέλο, δίνοντάς του οδηγίες να αναζητήσει τους καταλόγους χρηστών για στοιχεία υψηλής αξίας αναδρομικά.
.webp.jpeg "Τα LLM επιταχύνουν τις λειτουργίες Ransomware με λειτουργικά εργαλεία και RaaS")
Αυτή η μέθοδος επιτρέπει στο κακόβουλο λογισμικό να ερμηνεύει το περιβάλλον και τη συνάφεια του αρχείου με έναν βαθμό συλλογισμού που προηγουμένως δεν ήταν διαθέσιμος σε αυτοματοποιημένα σενάρια.
Το κακόβουλο λογισμικό στοχεύει ρητά ευαίσθητες τοποθεσίες και περιουσιακά στοιχεία κρυπτονομισμάτων.
Target Paths: $HOME, ~/.config, ~/.local/share
Target Wallets: MetaMask, Electrum, Ledger, TrezorΚατά την αναγνώριση αυτών των αρχείων, το QUIETVAULT εκτελεί μια τυπική ρουτίνα διήθησης. Το Base64-κωδικοποιεί τα κλεμμένα δεδομένα για να τα αποκρύψει από τα εργαλεία παρακολούθησης δικτύου και διεγείρει το ωφέλιμο φορτίο μέσω των νεοδημιουργηθέντων αποθετηρίων GitHub χρησιμοποιώντας τοπικά διαπιστευτήρια.
Το QUIETVAULT αξιοποιεί τα τοπικά φιλοξενούμενα LLM για να βελτιώσει τα διαπιστευτήρια και την ανακάλυψη πορτοφολιών. Αυτή η τεχνική αποτελεί παράδειγμα του τρόπου με τον οποίο οι εισβολείς προσαρμόζονται στη διάδοση της τεχνητής νοημοσύνης, μετατρέποντας τα ισχυρά εργαλεία παραγωγικότητας σε κινητήρες για ακριβή κλοπή δεδομένων.
