Z dnů na hodiny. AI působí jako katalyzátor ransomwarových útoků, rovněž však jako jejich brzda
Ransomwarové gangy útočí rychleji než kdy dříve. Doba od rekognoskace oběti, infiltrace zařízení, exfiltraci či zašifrování dat se zkracuje z dnů na pouhé hodiny. Umocňující trend podporuje nový „pomocník“ – umělá inteligence (AI). Její sílu lze však využít i k obraně.
Ransomware, tedy typ malwaru, který šifruje data oběti a požaduje výkupné za jejich opětovné dešifrování, se stává sofistikovanějším a nebezpečnějším. „Jedním z nejvíce znepokojivých trendů v oblasti ransomwarových útoků je zkracující se doba od rekognoskace oběti, infiltrace do zařízení až po exfiltraci a zašifrování dat. Zatímco dříve tento proces trval dny, v dnešní době se může odehrát i v řádu hodin“ odhaluje Petr Kocmich, Global Cyber Security Delivery Manager společnosti Soitron.
To firmám dává méně času na reakci a zvyšuje pravděpodobnost, že zaplatí výkupné, aby obnovily přístup ke svým datům. V mnoha případech dochází k šifrování dat do 24 hodin od prvního narušení. V roce 2022 to přitom podle Petra Kocmicha bylo minimálně pět dnů a bezpečnostní mechanismy firem tak měly mnohem více času podezřelou aktivitu, respektive útok, řízeně zachytit a nahlásit.
Manuální práce je minulostí
Je to skoro až paradoxní, ale důvodem tohoto překotného vývoje je zvyšování úrovně kybernetické bezpečnosti ve firmách. Útočníci vědí, že musí jednat v kratších časových rámcích, aby se vyhnuli odhalení. Mnoho společností používá MDR a EDR ochranu (Managed, respektive Endpoint Detection and Response) a jsou tak na útok lépe připraveny.
MDR a EDR jsou technologie kybernetické bezpečnosti, které firmám umožňují sledovat a reagovat na kybernetické hrozby v koncových bodech, jako jsou notebooky, stolní počítače, mobilní zařízení či servery. EDR systémy z nich sbírají data a analyzují je v reálném čase, aby identifikovaly podezřelé aktivity, které by mohly indikovat kybernetický útok. Útočníci se tomuto trendu snaží přizpůsobit, a proto své škodlivé aktivity provádějí rychleji a efektivněji. „V minulosti museli útočníci s ransomwarem provést spoustu manuální práce. Například ručně spouštět příkazy a skripty, analyzovat nastavení sítě a hledat zranitelná místa. To byl zdlouhavý proces, který hrozil odhalením. Díky automatizaci, různým nástrojům, on-line komunitám a nově i umělé inteligenci se útočníkům otevřely nevídané možnosti,“ vysvětluje Petr Kocmich.
Trendem je automatizace úkolů při vlastních útocích
Útočníci mohou využít AI k automatizaci úkolů, a to jak při skenování zranitelnosti sítí, tak při provádění útoků typu brute-force, což jim umožňuje provést více útoků v kratším čase a s menším úsilím.
Umělá inteligence navíc dokáže analyzovat velké objemy dat, aby identifikovala potenciálně nejvhodnější cíle pro ransomwarové útoky. Zároveň může být použita k vývoji malwaru, který je lépe schopen obejít bezpečnostní systémy. V neposlední řadě může být AI použita k vytváření personalizovaných phishingových e-mailů či nástrojů sociálního inženýrství. S jejich pomocí poté dochází k útokům, které s větší pravděpodobností překonají ostražitost obětí a povedou k prozrazení citlivých informací nebo instalaci malwaru.
Využití AI k ochraně
Umělá inteligence sice působí jako katalyzátor ransomwarových útoků, ale může zároveň pomáhat s jejich prevencí. Moderní řešení pro detekci anomálií využívají umělou inteligenci k analýze síťového provozu a chování uživatelů a k rozpoznání odchylek od běžných vzorců, které by mohly indikovat útok. Tato technologie umožňuje včasnou detekci podezřelých aktivit, i když útočníci používají sofistikované metody k obcházení tradičních bezpečnostních systémů.
AI lze rovněž použít k šifrování dat a k ochraně před neoprávněným přístupem i v situaci, kdy se útočníkům podaří proniknout do sítě. Systémy pro správu dat poháněné umělou inteligencí dokáží automaticky identifikovat a klasifikovat citlivá data a implementovat příslušná bezpečnostní opatření. „Řešení pro simulaci kybernetických útoků umožňují organizacím testovat své obranné systémy a identifikovat slabé stránky v reálném prostředí,“ dodává Petr Kocmich.
Umělá inteligence se dá použít k simulaci komplexních a sofistikovaných útoků, takže se firmy mohou lépe připravit na skutečné hrozby. V případě ransomware útoku je možné použít AI k analýze dat a k identifikaci zdrojů útoku a použitých metod. Firmy tak mohou lépe porozumět hrozbě a přijmout kroky k prevenci budoucích útoků.
Dobrý sluha, zlý pán
Zneužívání umělé inteligence ransomwarovými gangy je komplexní a dynamická hrozba, která vyžaduje neustálé vylepšování a adaptaci bezpečnostních strategií. „Umělá inteligence je nástroj, který může být využit pro užitečné i nebezpečné cíle a záměry. Budoucnost kybernetické bezpečnosti proto závisí na tom, jak se AI bude zodpovědně vyvíjet a používat,“ zakončuje Petr Kocmich.