A zsarolóvírusok az AI és az ügynökök használatával nőnek

Brazíliától az Egyesült Államokig, az Egyesült Királyságtól az Európai Unióig a ransomware az évtized közepére lépett, mint a párhuzamos“-bűnözés egyik fajtája”: szervezi magát szolgáltatásként, kiszervezi a lépéseket és kihasználja a vállalatok és kormányok függőségét az összekapcsolt rendszerektől Az újdonság nem maga a titkosítás, hanem az, hogy a zsarolás hogyan kombinálódik a gyorsabb műveletekkel, több ellopott adattal és a mesterséges intelligencia növekvő használatával a költségek csökkentése és az elérés növelése érdekében.

A Threat Landscape 2025 jelentés, amelyet az ENISA „az EU kiberbiztonsági ügynöksége“ OE tett közzé, a mesterséges intelligenciát a jelenlegi fenyegetettségi környezet egyik meghatározó elemeként sorolta fel. A jelentés kiemeli, hogy az AI által támogatott adathalász kampányok a társadalmi mérnöki kezdeményezések többségét képviselik. A gyakorlati hatás közvetlen: meggyőzőbb szövegek, nyelvi alkalmazkodás az áldozatprofilhoz, a megközelítési tesztek automatizálása és a támadás működési költségeinek csökkentése.

Az AI nem helyettesíti teljes mértékben az emberi kezelőt a ransomware-ben, de csökkenti az erőfeszítéseket olyan lépésekben, amelyek történelmileg időt és kézi készségeket igényeltek. A nyelvi modelleket rendkívül személyre szabott e-mailek készítésére, kiszűrt adatok elemzésére használják, hogy azonosítsák azokat az érzékeny információkat, amelyek nagyobb nyomásgyakorlási potenciállal rendelkeznek, és támogatják a sebezhetőségi kutatásokat. Az Egyesült Királyság Nemzeti Kiberbiztonsági Központja már figyelmeztetett arra, hogy az AI hajlamos növelni a meglévő taktikák hatékonyságát, gyakoriságát és mértékét, különösen a felismerés és a támogatott kizsákmányolás terén.

Az AI ügynökök szerepe

A legérzékenyebb előrelépés azonban az ügynökalapú architektúrák használatában van, A csak szöveges modelltől eltérően az ügynökök olyan rendszerek, amelyek képesek a feladatok tervezésére, a külső eszközök hívásainak végrehajtására, az API-kkal való interakcióra és a kontextus több lépésen keresztül történő fenntartására. A legitim vállalati környezetben alkalmazva ezek az ügynökök automatizálják a belső folyamatokat, integrálják a rendszereket és csökkentik a működési súrlódást. Sértő szempontból ugyanaz a logika használható az elosztott műveletek koordinálására.

A strukturált támadás magában foglalhat egy nyilvános és belső információk gyűjtésére hivatott ügynököt, egy másik a hitelesítő adatok érvényesítésére és a túlzott engedélyek kiaknázására összpontosít, valamint egy harmadik felet, aki a felhőszolgáltatási API-k működtetéséért felelős az erőforrások, tokenek és hozzáférési kulcsok feltérképezésére. A kezdeti behatolástól kezdve az automatizálás felgyorsítja az oldalirányú mozgást és a kiszűrést. 

Brazíliában a CTIR Gov riasztásai már 2022 óta leírták az olyan csoportok érését, mint a BlackCat/ALPHV, amelyek oldalirányú mozgási technikákkal és testreszabott titkosítással működnek. Most az intelligens automatizálás további rétege változik, amely hozzáadódik az API-kon, szolgáltatási fiókokon és automatizált áramlásokon alapuló integrációk növekvő vállalati elfogadásához.

Ez a konvergencia kiterjeszti a kockázati felületet Minden integráció hozzáadja a hitelesítő adatokat, tokeneket és engedélyeket. Minden működési autonómiával rendelkező vállalati ügynök egy új gépidentitást képvisel. Ha veszélybe kerül, ezek az elemek látszólagos legitimációval léphetnek fel a környezetben. A vizsgálat leállítja csak a “quem accessedt” megkérdezését, és elkezdi megkérdőjelezni, hogy melyik rendszer hajtott végre egy bizonyos műveletet, és melyik döntési lánc alatt.

Technikai szempontból ezekre az új fenyegetésekre való reagálás építészeti felülvizsgálatot igényel. A nulla bizalmi modellek, a szemcsés szegmentálás és a gépi identitások szigorú ellenőrzése prioritássá válik A jogosultságkezelésnek tartalmaznia kell a szolgáltatási fiókokat és az automatizált integrációkat. A naplókat központosítani kell, és védeni kell a manipulációtól, lehetővé téve az eseménysorokon alapuló viselkedéselemzést, nem csak az elszigetelt riasztásokat.

A megváltoztathatatlan biztonsági mentések továbbra is kulcsfontosságú intézkedések a titkosítás ellen, de nem foglalkoznak a szivárgási zsarolás hírnév-dimenziójával. A folyamatos kiszűrés-ellenőrzés és az egyértelmű incidens-reagálási politikák ma már a stratégiai tervezés részét képezik.

A mesterséges intelligencia átvétele a vállalatoknál önmagában nem a probléma. Éppen ellenkezőleg, strukturáltan alkalmazva erősítheti az észlelést és a reagálást. A kockázat akkor merül fel, ha az ügynökök túlzott engedélyekkel működnek, az integrációkat megfelelő leltározás nélkül hajtják végre, és az automatizált döntéseknek nincs auditálható nyomvonala.

A zsarolóvírusok technikai támadásból strukturált gazdasági modellé fejlődtek. Az AI és az autonóm ügynökök beépítése felgyorsítja ezt a logikát, csökkenti a bűnözők költségeit, és növeli a komplexitást a vállalatok számára, amelyeknek naprakészen kell tartaniuk védelmi stratégiáikat. A stratégiai prioritás az identitások, API-k és algoritmusok szabályozása ugyanolyan szigorúsággal, mint a fizikai és pénzügyi eszközökre.

Azok a vállalatok, amelyek az ügynököket és az automatizálásokat a kockázati architektúra központi részeként kezelik, jobb helyzetben lesznek a következő hullám leküzdésére. Azok, akik az AI-t csak termelékenységi eszköznek tekintik, túl későn tapasztalhatják meg, hogy az ellenőrizetlen autonómia csendben, de határozottan felnagyítja az expozíciót.