Việc tích hợp Large Language Models (LLMs) vào các hoạt động tấn công ransomware đánh dấu một sự chuyển đổi trọng yếu trong bối cảnh tội phạm mạng. Công nghệ này hoạt động như một công cụ tăng tốc vận hành mạnh mẽ, chứ không phải một cuộc cách mạng cơ bản.
LLMs giảm đáng kể rào cản gia nhập, cho phép cả những đối tượng có kỹ năng thấp cũng có thể xây dựng công cụ và hạ tầng Ransomware-as-a-Service (RaaS) phức tạp cho các cuộc tấn công ransomware.
Hệ quả là hệ sinh thái tội phạm mạng đang bị phân mảnh. Kỷ nguyên của các băng nhóm tập đoàn lớn đang lụi tàn, thay vào đó là sự phát triển của nhiều nhóm nhỏ hơn, linh hoạt hơn và các nhóm tạm thời.
Những thay đổi này làm phức tạp quá trình quy trách nhiệm và buộc các nhà phòng thủ phải đối phó với một môi trường mối đe dọa mạng ồn ào, phân tán hơn.
Mở Rộng Các Vector Tấn Công và Tối Ưu Hóa Khai Thác
Các vector tấn công đang mở rộng khi đối tượng tái sử dụng các quy trình làm việc của doanh nghiệp cho mục đích độc hại.
Tự Động Hóa Tạo Email Phishing và Ghi Chú Đòi Tiền Chuộc
Hiện nay, các đối tượng tấn công sử dụng LLMs để tự động tạo các email lừa đảo thuyết phục. Những email này thường liên quan đến nhân sự hoặc công nghệ thông tin, có tỷ lệ nhấp cao.
LLMs cũng cho phép tạo ra các ghi chú đòi tiền chuộc được bản địa hóa hoàn hảo, bắt chước ngôn ngữ của nạn nhân.
Điều này nâng cao hiệu quả của các chiến dịch mã độc tống tiền, khiến chúng trở nên khó bị nhận diện hơn.
Tối Ưu Hóa Phân Loại Dữ Liệu Bị Đánh Cắp
Các mô hình ngôn ngữ lớn đã cách mạng hóa việc phân loại dữ liệu.
Chúng cho phép kẻ tấn công xác định ngay lập tức các mục tiêu béo bở trong các bãi dữ liệu bị rò rỉ, bất kể ngôn ngữ gốc.
Khả năng này loại bỏ các rào cản ngôn ngữ, cho phép các đối tượng thực hiện tấn công ransomware trên toàn cầu.
Điều này tối đa hóa tác động của các cuộc xâm nhập mà không cần tăng cường tài nguyên vận hành.
Chiến Lược Lách Các Hàng Rào Bảo Mật Truyền Thống
Các nhà phân tích của SentinelLabs đã xác định rằng một thành phần quan trọng của sự tăng tốc này là việc chuyển đổi sang các mô hình cục bộ, mã nguồn mở, nhằm vượt qua các hàng rào bảo mật.[1]
Bằng cách phân mảnh các yêu cầu độc hại thành các nhắc nhở lành tính hoặc sử dụng các mô hình không kiểm duyệt như Ollama, tội phạm mạng giảm thiểu hiệu quả việc đo lường từ xa của nhà cung cấp và né tránh các cơ chế phát hiện.
Sự thay đổi chiến lược này cho phép kẻ tấn công duy trì hoạt động với nhịp độ cao. Đồng thời, nó giảm khả năng các nhà cung cấp AI tập trung sẽ gắn cờ hạ tầng của họ, tạo ra một thách thức lớn đối với an ninh mạng.
QUIETVAULT: Mã Độc Khai Thác LLM Cục Bộ Trên macOS và Linux
Một biểu hiện rõ ràng của xu hướng này là QUIETVAULT, một chủng mã độc tinh vi được thiết kế cho các cuộc tấn công ransomware.
QUIETVAULT vũ khí hóa các LLM được lưu trữ cục bộ trên môi trường macOS và Linux.
Thay vì chỉ dựa vào khớp mẫu tĩnh, QUIETVAULT tận dụng các công cụ AI đã cài đặt trên máy nạn nhân để thực hiện trinh sát thông minh.
Mã độc tiêm các nhắc nhở cụ thể (prompts) vào mô hình cục bộ. Từ đó, hướng dẫn mô hình tìm kiếm đệ quy các thư mục người dùng để tìm tài sản có giá trị cao.
Phương pháp này cho phép mã độc diễn giải ngữ cảnh và mức độ liên quan của tệp với mức độ suy luận mà các script tự động trước đây không thể thực hiện được.
Mục Tiêu và Cơ Chế Đánh Cắp Dữ Liệu của QUIETVAULT
Mã độc này nhắm mục tiêu rõ ràng vào các vị trí nhạy cảm và tài sản tiền điện tử.
Sau khi xác định các tệp này, QUIETVAULT thực hiện quy trình đánh cắp dữ liệu tiêu chuẩn. Nó mã hóa dữ liệu bị đánh cắp bằng Base64 để che giấu khỏi các công cụ giám sát mạng.
Cuối cùng, nó tiết lộ payload thông qua các kho lưu trữ GitHub mới được tạo, sử dụng thông tin xác thực cục bộ.
QUIETVAULT tận dụng các LLM được lưu trữ cục bộ để tăng cường khám phá thông tin xác thực và ví. Kỹ thuật này minh họa cách kẻ tấn công đang thích nghi với sự phổ biến của AI.
Chúng biến các công cụ năng suất mạnh mẽ thành động cơ đánh cắp dữ liệu chính xác, làm cho các chiến dịch tấn công ransomware ngày càng trở nên tinh vi hơn.
