Ανησυχητικές επιπτώσεις στο τοπίο του κυβερνοεγκλήματος αποκτά η Τεχνητή Νοημοσύνη, επιτρέποντας στους επιτιθέμενους να δημιουργούν και να διανέμουν κακόβουλο λογισμικό με ταχύτητα και ελάχιστη προσπάθεια. Αυτό επιβεβαιώνει η τελευταία έκθεση Threat Insights Report της HP Wolf Security καταγράφει μια σαφή μετατόπιση στη στρατηγική των κυβερνοεγκληματιών.
Αντί να επενδύουν στην τελειότητα και την πολυπλοκότητα των επιθέσεων, αξιοποιούν εργαλεία Τεχνητής Νοημοσύνης για να μειώνουν το κόστος και να επιταχύνουν τη δημιουργία κακόβουλων εκστρατειών. Το αποτέλεσμα είναι ένας μεγάλος όγκος επιθέσεων χαμηλής ποιότητας, οι οποίες όμως εξακολουθούν να παρακάμπτουν τις επιχειρησιακές άμυνες.
Τα ευρήματα δείχνουν ότι η Τεχνητή Νοημοσύνη λειτουργεί ως επιταχυντής για την ανάπτυξη και αυτοματοποίηση των επιθέσεων, επιτρέποντας στους δράστες να προσαρμόζουν γρήγορα τις μεθόδους τους και να δημιουργούν πολλαπλές παραλλαγές κακόβουλου λογισμικού.
Σύμφωνα με το HP Security Lab, οι κυβερνοεγκληματίες φαίνεται να ακολουθούν το κλασικό τρίγωνο της διαχείρισης έργου: ταχύτητα, ποιότητα και κόστος. Όπως εξηγεί, πολλοί επιτιθέμενοι επιλέγουν να βελτιστοποιούν τις επιθέσεις τους για ταχύτητα και χαμηλό κόστος, θυσιάζοντας την ποιότητα.
«Δεν χρησιμοποιούν το AI για να ανεβάσουν τα στάνταρ. Το χρησιμοποιούν για να κινούνται ταχύτερα και να μειώνουν την προσπάθεια. Οι εκστρατείες είναι απλές, αλλά η άβολη πραγματικότητα είναι ότι εξακολουθούν να λειτουργούν», σημειώνουν οι αναλυτές της εταιρείας.
Εκστρατείες made by AI
Ένα από τα πιο χαρακτηριστικά παραδείγματα που καταγράφει η έκθεση είναι η χρήση τεχνικών vibe-hacking, όπου οι επιτιθέμενοι αξιοποιούν την Τεχνητή Νοημοσύνη για να δημιουργούν αυτοματοποιημένα σενάρια μόλυνσης. Σε μια τέτοια εκστρατεία, οι δράστες διανέμουν ψεύτικα τιμολόγια σε μορφή PDF.
Ένας σύνδεσμος μέσα στο έγγραφο ενεργοποιεί μια σιωπηλή λήψη κακόβουλου λογισμικού από παραβιασμένο ιστότοπο και στη συνέχεια ανακατευθύνει το θύμα σε αξιόπιστες πλατφόρμες, όπως το Booking.com. Η ανακατεύθυνση αυτή δημιουργεί την ψευδαίσθηση νομιμότητας και δυσκολεύει τον εντοπισμό της επίθεσης.
Παράλληλα, οι ερευνητές εντόπισαν την αυξανόμενη χρήση του λεγόμενου flat-pack malware, μιας μεθόδου που βασίζεται σε modular δομικά στοιχεία κακόβουλου λογισμικού. Οι επιτιθέμενοι αγοράζουν συχνά έτοιμα components από φόρουμ χάκερς και τα συνδυάζουν για να δημιουργήσουν γρήγορα νέες εκστρατείες.
Αν και τα δολώματα και τα τελικά αρχεία αλλάζουν, τα βασικά σενάρια επαναχρησιμοποιούνται, επιτρέποντας την ταχεία προσαρμογή και κλιμάκωση των επιθέσεων. Η πρακτική αυτή δεν συνδέεται με μία μόνο ομάδα απειλής· πολλοί ανεξάρτητοι παράγοντες χρησιμοποιούν τα ίδια εργαλεία, δημιουργώντας ένα οικοσύστημα επιθέσεων χαμηλού κόστους αλλά μεγάλης κλίμακας.
Ένα ακόμη χαρακτηριστικό παράδειγμα αποτελεί η χρήση κακόβουλου λογισμικού που κρύβεται μέσα σε ψεύτικες εγκαταστάσεις εφαρμογών. Σε πρόσφατες εκστρατείες, οι επιτιθέμενοι αξιοποίησαν τεχνικές δηλητηρίασης μηχανών αναζήτησης και κακόβουλων διαφημίσεων για να προωθήσουν ψεύτικους ιστότοπους του Microsoft Teams. Τα θύματα κατεβάζουν ένα πακέτο εγκατάστασης που φαίνεται νόμιμο, αλλά περιέχει το κακόβουλο λογισμικό Oyster Loader. Το πρόγραμμα αυτό «αναρριχάται» στη διαδικασία εγκατάστασης της εφαρμογής, επιτρέποντας στο Teams να εγκατασταθεί κανονικά ενώ παράλληλα ενεργοποιεί μια κρυφή μόλυνση που δίνει στους επιτιθέμενους πρόσβαση backdoor στη συσκευή.
Απειλές μέσω email
Η έκθεση της HP αποκαλύπτει ότι οι κυβερνοεγκληματίες συνεχίζουν να διαφοροποιούν τις μεθόδους τους για να παρακάμπτουν τα εργαλεία ασφαλείας. Τουλάχιστον το 14% των απειλών μέσω email που εντόπισε το HP Sure Click κατάφερε να παρακάμψει έναν ή περισσότερους σαρωτές email gateway, γεγονός που αναδεικνύει τα όρια των παραδοσιακών συστημάτων ανίχνευσης.
Τα εκτελέσιμα αρχεία αποτέλεσαν τον πιο δημοφιλή τρόπο παράδοσης κακόβουλου λογισμικού, αντιπροσωπεύοντας το 37% των περιστατικών, ενώ ακολούθησαν τα αρχεία .zip με ποσοστό 11% και τα αρχεία .docx με 10%.
«Η ταχύτητα με την οποία δημιουργούνται πλέον οι επιθέσεις αποκαλύπτει τα όρια των μοντέλων ασφάλειας που βασίζονται αποκλειστικά στην ανίχνευση. Όταν οι επιτιθέμενοι μπορούν να δημιουργούν και να επανασυσκευάζουν κακόβουλο λογισμικό μέσα σε λίγα λεπτά, οι παραδοσιακές άμυνες δυσκολεύονται να ανταποκριθούν» αναφέρει η σχετική έκθεση.
