Ransomware phát triển với việc sử dụng AI và các đại lý

Từ Brazil đến Hoa Kỳ, Vương quốc Anh đến Liên minh châu Âu, ransomware bước vào giữa thập kỷ như một loại song song“-tội phạm ”: nó tự tổ chức như một dịch vụ, thuê ngoài các bước và khai thác sự phụ thuộc của các công ty và chính phủ vào các hệ thống được kết nối. tính mới không phải là mã hóa chính nó, mà là cách tống tiền kết hợp với các hoạt động nhanh hơn, với nhiều dữ liệu bị đánh cắp hơn và việc sử dụng trí tuệ nhân tạo ngày càng tăng để giảm chi phí và tăng phạm vi tiếp cận.

Báo cáo Threat Landscape 2025, được xuất bản bởi ENISA 'cơ quan an ninh mạng EU' OE, đã xếp hạng trí tuệ nhân tạo là một trong những yếu tố xác định của cảnh quan mối đe dọa hiện tại. Báo cáo nhấn mạnh rằng các chiến dịch lừa đảo được hỗ trợ bởi AI đã chiếm phần lớn trong số các sáng kiến kỹ thuật xã hội được quan sát vào năm ngoái. Tác động thực tế là trực tiếp: văn bản thuyết phục hơn, thích ứng ngôn ngữ với hồ sơ nạn nhân, tự động hóa các thử nghiệm tiếp cận và giảm chi phí hoạt động của cuộc tấn công.

AI không thay thế hoàn toàn nhà điều hành con người trong ransomware, nhưng nó làm giảm nỗ lực trong các bước mà lịch sử yêu cầu thời gian và kỹ năng thủ công. mô hình ngôn ngữ được sử dụng để sản xuất email được cá nhân hóa cao, phân tích dữ liệu bị lọc để xác định thông tin nhạy cảm có tiềm năng lớn hơn cho áp lực và hỗ trợ nghiên cứu lỗ hổng.The National Cyber Security Center, Vương quốc Anh, đã cảnh báo rằng AI có xu hướng tăng hiệu quả, tần suất và quy mô của các chiến thuật hiện có, đặc biệt là trong việc công nhận và khai thác hỗ tr.

Vai trò của các tác nhân AI

Tuy nhiên, tiến bộ nhạy cảm nhất là trong việc sử dụng các kiến trúc dựa trên tác nhân.Không giống như mô hình chỉ có văn bản, tác nhân là các hệ thống có khả năng lập kế hoạch nhiệm vụ, thực hiện các cuộc gọi đến các công cụ bên ngoài, tương tác với API và duy trì bối cảnh qua nhiều bước.Khi được áp dụng trong môi trường hợp pháp của công ty, các tác nhân này tự động hóa các quy trình nội bộ, tích hợp hệ thống và giảm ma sát hoạt động.Từ góc độ tấn công, cùng một logic có thể được sử dụng để phối hợp các hành động phân tán.

Một cuộc tấn công có cấu trúc có thể liên quan đến một tác nhân chuyên thu thập thông tin công khai và nội bộ, một cuộc tấn công khác tập trung vào xác thực thông tin xác thực và khai thác các quyền quá mức và bên thứ ba chịu trách nhiệm vận hành API dịch vụ đám mây để ánh xạ tài nguyên, mã thông báo và khóa truy cập. Từ sự xâm nhập ban đầu, tự động hóa tăng tốc chuyển động ngang và thoát ra ngoài. 

Tại Brazil, cảnh báo của Chính phủ CTIR đã mô tả từ năm 2022 về sự trưởng thành của các nhóm như BlackCat/ALPHV, hoạt động bằng các kỹ thuật di chuyển ngang và mã hóa tùy chỉnh. Những thay đổi hiện nay là lớp tự động hóa thông minh bổ sung, được bổ sung vào việc áp dụng tích hợp ngày càng tăng của công ty dựa trên API, tài khoản dịch vụ và luồng tự động.

Sự hội tụ này mở rộng bề mặt rủi ro.Mỗi tích hợp thêm thông tin xác thực, mã thông báo và quyền.Mỗi tác nhân của công ty với quyền tự chủ hoạt động đại diện cho một nhận dạng máy mới.Nếu bị xâm phạm, các yếu tố này có thể hành động với tính hợp pháp rõ ràng trong môi trường.Điều tra ngừng chỉ hỏi “quem truy cập”và bắt đầu đặt câu hỏi “hệ thống nào thực hiện một hành động nhất định và theo chuỗi quyết định nào”.

Từ quan điểm kỹ thuật, việc ứng phó với các mối đe dọa mới này đòi hỏi phải xem xét kiến trúc. mô hình không tin cậy, phân đoạn chi tiết và kiểm soát chặt chẽ danh tính máy trở thành ưu tiên. quản lý đặc quyền cần bao gồm các tài khoản dịch vụ và tích hợp tự động. nhật ký phải được tập trung và bảo vệ khỏi giả mạo, cho phép phân tích hành vi dựa trên chuỗi sự kiện chứ không chỉ cảnh báo riêng lẻ.

Sao lưu bất biến vẫn là một biện pháp quan trọng chống lại mã hóa, nhưng chúng không giải quyết được khía cạnh uy tín của việc tống tiền rò rỉ.Giám sát thoát lọc liên tục và các chính sách ứng phó sự cố rõ ràng hiện là một phần của kế hoạch chiến lược.

Việc áp dụng trí tuệ nhân tạo trong các công ty không phải là, trong chính nó, vấn đề. ngược lại, nó có thể tăng cường phát hiện và phản ứng khi áp dụng một cách có cấu trúc. rủi ro phát sinh khi các đại lý hoạt động với quyền quá mức, tích hợp được thực hiện mà không có hàng tồn kho đầy đủ và các quyết định tự động không có theo dõi kiểm toán.

Ransomware đã phát triển từ một cuộc tấn công kỹ thuật đến một mô hình kinh tế có cấu trúc.Sự kết hợp của AI và các tác nhân tự trị tăng tốc logic này, giảm chi phí cho tội phạm và tăng độ phức tạp cho các công ty, cần phải giữ cho chiến lược phòng thủ của họ được cập nhật.Ưu tiên chiến lược là quản lý danh tính, API và thuật toán với cùng một sự nghiêm ngặt được áp dụng cho các tài sản vật chất và tài chính.

Các công ty coi các tác nhân và tự động hóa là một phần trung tâm của kiến trúc rủi ro sẽ có vị trí tốt hơn để giải quyết làn sóng tiếp theo. Những người chỉ coi AI là một công cụ năng suất có thể thấy quá muộn rằng quyền tự chủ không được kiểm soát sẽ âm thầm nhưng dứt khoát phóng đại mức độ tiếp xúc.