Sztuczna inteligencja pomaga hakerom

Przeczytaj także: Trojan Androxgh0st atakuje

Sztuczna inteligencja w coraz większym stopniu wpływa na ataki hakerskie. We wrześniu cyberprzestępcy prawdopodobnie wykorzystali AI do opracowania skryptu dostarczającego AsyncRAT - trojana, który zajmuje obecnie 10. miejsce na liście najczęściej spotykanych zagrożeń. Wg badających sprawę analityków z Check Point Research, atak polega na tzw. HTML smuggling, gdzie ofierze wysyłano plik ZIP chroniony hasłem, zawierający złośliwy kod VBScript. Cała operacja, w tym dobrze ustrukturyzowany i skomentowany kod, sugerowała użycie sztucznej inteligencji. Po zainfekowaniu systemu AsyncRAT umożliwia atakującemu zdalną kontrolę nad urządzeniem, rejestrację klawiszy i wdrażanie dodatkowego złośliwego oprogramowania.

Fakt, że cyberprzestępcy zaczęli wykorzystywać generatywną AI jako część swojej infrastruktury ataków, pokazuje, jak ewoluują taktyki ataków. Hakerzy coraz częściej wykorzystują dostępne technologie, co sprawia, że organizacje muszą wprowadzać proaktywne strategie zabezpieczeń - mówi Maya Horowitz, wiceprezes ds. badań w Check Point Software.

Najczęściej atakowane sektory

We wrześniu 2024 roku edukacja i badania naukowe były najczęściej atakowanymi sektorami, a zaraz za nimi uplasowała się administracja oraz sektor opieki zdrowotnej. W Polsce we wrześniu cyberprzestępcy najczęściej atakowali sektor użyteczności publicznej, administracyjno-wojskowy oraz finansowy.

Eksperci Check Pointa udostępnili również dane dotyczące najważniejszych zagrożeń wpływających na światowe organizacje. Czołowa trójka we wrześniu składała się z następujących trzech programów:

• FakeUpdates (znane również jako SocGholish) - najczęściej spotykane złośliwe oprogramowanie we wrześniu 2024, dotykające 7% organizacji na świecie. Jest to downloader, który przed uruchomieniem zapisuje na dysku złośliwy kod, co prowadzi do dalszych infekcji.
• Androxgh0st - botnet, który atakuje platformy Windows, Mac i Linux, kradnąc dane uwierzytelniające, takie jak dane z kont Twilio i AWS.
• FormBook - infostealer, który kradnie dane z przeglądarek, wykonuje zrzuty ekranu, monitoruje klawisze oraz potrafi ściągać i uruchamiać pliki na zainfekowanym komputerze.

Światowy nr 2 – Androxgh0st, był również najpopularniejszym malwarem grasującym w polskiej cyberprzestrzeni. Botnet ten wpłynął na 4,2% polskich przedsiębiorstw i organizacji.

Dane oparte na informacjach z tzw. „stron wstydu” prowadzonych przez grupy ransomware stosujące podwójne wymuszanie, które publikują informacje o ofiarach, dostarczyły specjalistom cyberbezpieczeństwa ciekawe dane nt. najbardziej aktywnych ugrupowaniach ransomware. W tym miesiącu najczęściej atakującą grupą ransomware jest RansomHub, odpowiedzialna za 17% opublikowanych ataków, a następnie Play z 10% i Qilin z 5%.

• RansomHub - grupa ransomware odpowiedzialna za 17% opublikowanych ataków. Jest to operacja typu Ransomware-as-a-Service (RaaS), która zyskała na znaczeniu w 2024 roku, atakując różne systemy, w tym VMware ESXi.
• Play - ransomware, które zadebiutowało w 2022 roku, z powodzeniem atakujące różnorodne sektory infrastruktury krytycznej.
• Qilin - operacja RaaS, która współpracuje z afiliatami w celu szyfrowania i eksfiltracji danych, koncentrując się na dużych przedsiębiorstwach i organizacjach z sektora opieki zdrowotnej i edukacji.