Τα μοντέλα μεγάλων γλωσσών αλλάζουν τον τρόπο με τον οποίο τα συνεργεία ransomware σχεδιάζουν και εκτελούν τις επιθέσεις τους. Αντί να εφευρίσκουν νέα είδη κακόβουλου λογισμικού, τα LLM επιταχύνουν κάθε βήμα του υπάρχοντος κύκλου ζωής ransomware, από την επανεξέταση έως τον εκβιασμό.
Τα πληρώματα μπορούν πλέον να γράφουν άπταιστα θέλγητρα ηλεκτρονικού ψαρέματος, να εντοπίζουν σημειώσεις λύτρων και να ταξινομούν κλεμμένα δεδομένα σε πολλές γλώσσες σε λίγα λεπτά, όχι σε ημέρες.
Αυτή η μετατόπιση είναι ήδη ορατή σε όλα τα οικοσυστήματα εγκληματολογικού λογισμικού και αυξάνει το συνολικό ρυθμό και την εμβέλεια των επιχειρήσεων εκβιασμού.
Οι εισβολείς χρησιμοποιούν τα LLM ως άμεσο υποκατάστατο για τις κανονικές ροές εργασιών της επιχείρησης.
Όταν μια ομάδα πωλήσεων θα χρησιμοποιούσε ένα LLM για να καθαρίσει δεδομένα και να σχεδιάσει την προσέγγιση χρηστών, οι χειριστές ransomware τροφοδοτούν απόρριψη εγγράφων που διέρρευσαν και ζητούν από το μοντέλο να βρει αρχεία υψηλής αξίας, ευαίσθητα έργα ή νομικές διαφωνίες που μπορεί να αυξήσουν την πίεση λύτρων.
Το ίδιο μοτίβο ισχύει και για τη ρύθμιση της υποδομής: οι ηθοποιοί χαμηλής ικανότητας μπορούν να ζητήσουν από τα μοντέλα να εξηγήσουν πώς να στηρίζουν τους διακομιστές C2, να δημιουργούν βασικούς φορτωτές ή αυτοματοποίηση σεναρίων και να λαμβάνουν καθοδήγηση βήμα προς βήμα σε απλή γλώσσα.
Ερευνητές της SentinelOne Labs διάσημος ότι τα LLM μειώνουν τα εμπόδια εισόδου, ενώ βοηθούν επίσης τα υπάρχοντα πληρώματα να κινούνται πιο γρήγορα σε περισσότερες γλώσσες, στοίβες τεχνολογίας και περιοχές.
Παρατήρησαν κανένα «υπερ-κακόβουλο λογισμικό», αλλά σαφή κέρδη στην ταχύτητα, τον όγκο και την πολυγλωσσική εμβέλεια, ειδικά όπου τα LLM βοηθούν με εργαλεία, διαλογή δεδομένων και διαπραγμάτευση.
Ταυτόχρονα, το κλασικό τοπίο ransomware διασπάται σε πολλά μικρά συνεργεία και αντιγραφείς, με φορείς που συνδέονται με το κράτος και εγκληματικά προγράμματα να θολώνουν μαζί σε κοινά οικοσυστήματα.
.webp.jpeg "Τα LLM επιταχύνουν τον κύκλο ζωής του Ransomware για να αποκτήσουν ταχύτητα, όγκο και πολυγλωσσική προσέγγιση")
Μια βασική τάση περιλαμβάνει τοπικά, αυτοφιλοξενούμενα μοντέλα όπως το Ollama, τα οποία βοηθούν τους ηθοποιούς να αποφύγουν τα προστατευτικά κιγκλιδώματα των παρόχων.
LLM που επιταχύνουν τον κύκλο ζωής του Ransomware
Αντί να ζητούν από ένα μόνο cloud LLM ένα κιτ ransomware από άκρο σε άκρο, οι χειριστές αποσυνθέτουν την εργασία σε καλοήθη κομμάτια και τα διανέμουν σε συνεδρίες και μοντέλα.
Ένα απλό παράδειγμα είναι η δημιουργία μικρών θραυσμάτων κώδικα και στη συνέχεια η συρραφή τους εκτός σύνδεσης:-
python# fragment 1: file walker
for root, dirs, files in os.walk(start_dir):
for name in files:
process_file(os.path.join(root, name))
# fragment 2: simple XOR
def xor(data, key):
return bytes(b ^ key for b in data)
Κανένα από αυτά τα μηνύματα από μόνο του δεν μοιάζει με ransomware, αλλά σε συνδυασμό με ένα περιτύλιγμα γραμμένο από ηθοποιούς μπορούν να σχηματίσουν μια ρουτίνα κρυπτογράφησης και ένα εμφύτευμα κλοπής δεδομένων.
Το SentinelLabs εντόπισε πρώιμα εργαλεία απόδειξης, όπως το PromptLock και το MalTerminal που ενσωματώνουν τις προτροπές LLM και τα κλειδιά API απευθείας στον κώδικα, δείχνοντας πώς το μελλοντικό ransomware θα μπορούσε να καλεί τοπικά ή απομακρυσμένα μοντέλα κατά την εκτέλεση για να δημιουργήσει ή να προσαρμόσει ωφέλιμα φορτία κατά απαίτηση.
Αυτό το μοτίβο «προτροπές ως κώδικας» υποδεικνύει τον πραγματικό κίνδυνο που υπάρχει: βιομηχανοποιημένος, πολύγλωσσος εκβιασμός που τροφοδοτείται από ροές εργασίας επιταχυνόμενες από την τεχνητή νοημοσύνη και όχι από θεμελιωδώς νέες μορφές κακόβουλου λογισμικού.
