ESET, Windows, Linux ve macOS’u hedefleyen komut dosyaları oluşturmak için OpenAi modellerini kullanarak AI ile çalışan ilk fidye yazılımı olan antrilüp tanımladı.
Yapay zekanın siber suçlular için bir yapı taşı olması sadece bir zaman meselesiydi. Bu hafta, ESET’teki araştırmacılar, anında kötü amaçlı kod oluşturmak için Openai’den açık ağırlıklı bir AI modeli kullanan bir prototip, adlı antrilya olarak adlandırılan ilk AI destekli fidye yazılımlarını dediklerini açıkladılar.
Statik bir yük taşımak yerine, GPT-OSS: 20B modelini Ollama API’sı üzerinden derhal bularak LUA komut dosyalarını doğrudan uzlaştırılmış bir sistem üzerine yazmasını ve yürütmesini sağlayarak çağrılar. Bu komut dosyaları dizinleri tarayabilir, dosyaları inceleyebilir, seçilen verileri dışarı atabilir ve sonuçları önceden paketlenmiş ikili dosyalara gerek kalmadan şifreleyebilir. Bu esneklik, saldırganlara geleneksel fidye yazılımlarında yaygın olarak görülmeyen bir uyarlanabilirlik seviyesi verir.
Kötü amaçlı yazılım Golang’da yazılmıştır, çapraz platform haline getirir ve ESET hem Windows hem de Virustotal’a yüklenen Linux örneklerini zaten tespit etmiştir. LUA hafif ve taşınabilir olduğundan, Promplock’un olağan kurbanlarından daha fazla ulaşmasına ve macOS ve tüketici Linux cihazları da dahil olmak üzere fidye yazılımı operatörleri tarafından sıklıkla ihmal edilen sistemlerde çalışmasına izin verir.
İlginç bir şekilde, araştırmacılar, derhal kilitleme dosyalarını dışarı atabilir ve şifreleyebilirken, verileri yok etme yeteneğinin henüz uygulanmadığını belirtti. Bu, koddaki birkaç pürüzlü kenarla birlikte, bunun canlı bir kampanya hedefleme organizasyonlarından ziyade bir kavram kanıtı veya devam eden çalışma olduğunu göstermektedir.
ESET’in bulguları, AI güdümlü kötü amaçlı yazılımların siber saldırıları daha hızlı ve daha büyük ölçekli hale getirebileceğinden endişe duyuyor. Makine öğrenimi zaten daha ikna edici kimlik avı yemleri ve derin peynir içeriği yaratmak için kullanılmış gibi, modeller keşif, kalıcılık veya veri hırsızlığı gibi görevleri işlemek için de uyarlanabilir. Antroklama, fidye yazılımı yazarlarının zaten bu yaklaşımı denediğini göstermektedir.
Commenting on the discovery, Nathan Webb, principal consultant at Acumen Cyber, explained why this development should not be dismissed as a simple lab experiment: “This is possibly the first instance of an AI-powered piece of ransomware observed in the wild. Rather than come with a payload, the malware uses ChatGPT to write Lua scripts on the fly, which gives it information about the local system and allows it to view files, exfiltrate data, and Sonuçta sistemi şifreleyin. ”
Nathan, “Burada LUA’nın kullanımı, saldırganların fidye yazılımı platformu-agnostik yapmaya çalıştıklarını, böylece özellikle elma cihazları ve tüketici Linux cihazları gibi düşük pazar payı nedeniyle geleneksel olarak hedeflenmeyenleri hedefleyebilmeleri için fidye yazılımı platformu-agnostik yapmaya çalıştıklarını gösteriyor” dedi.
Webb ayrıca, bu tür tehditlere karşı savunmanın senaryo tercümanları ve işletim sistemi düzeyinde araçlar etrafında yeni düşünme gerektireceğine dikkat çekti. Güvenlik satıcılarının, davranışları gerçek zamanlı olarak çözmek ve analiz etmek için kendi makine öğrenme modellerini kullanarak meşru komut dosyalarını kötü niyetli olanlardan ayırabilecek algılama mekanizmalarını geliştirmeleri gerekecektir.