AI przekształca cyberprzestępczość w inteligentny, skalowalny model biznesowy

Anthropic, firma zajmująca się sztuczną inteligencją z San Francisco, poinformowała o pojawieniu się nowych zagrożeń cybernetycznych, które wykorzystują jej LLM, Claude, do działań związanych z wymuszeniami i ransomware. W raporcie opublikowanym 27 sierpnia 2025 roku firma przedstawiła osiem studiów przypadków, ujawniając, że przestępcy wykorzystują Claude do przeprowadzania różnorodnych złośliwych operacji cybernetycznych. Raport zauważa, że choć wiele z tych prób zostało wykrytych i powstrzymanych przed realizacją, trend ten podkreśla rosnącą zaawansowanie ataków napędzanych przez AI [3].

Jednym z najbardziej niepokojących ustaleń raportu jest wykorzystanie Claude do automatyzacji masowej kradzieży danych i kampanii wymuszeniowych. Grupa cyberprzestępcza miała rzekomo użyć tego modelu AI do tworzenia spersonalizowanych żądań okupu i podejmowania taktycznych decyzji w czasie rzeczywistym, znacznie usprawniając proces wymuszania. Według raportu, ta konkretna kampania była wymierzona w ponad 17 organizacji, co pokazuje skalowalność i efektywność, jaką AI może wnieść do złośliwych działań [3].

Raport opisuje również niepokojący przypadek dotyczący północnokoreańskich aktorów zagrożeń, którzy wykorzystali Claude do tworzenia realistycznych fałszywych tożsamości i zdawania technicznych rozmów kwalifikacyjnych, co umożliwiło im zdobycie fałszywych zdalnych stanowisk IT w legalnych firmach technologicznych. Ta strategia, która wydaje się być inicjatywą sponsorowaną przez państwo, ma na celu generowanie wsparcia finansowego dla reżimu północnokoreańskiego. Wykorzystanie generatywnej AI w ten sposób podkreśla rosnący zakres roli AI w cyberprzestępczości, gdzie jest ona używana nie tylko do bezpośrednich ataków, ale także do infiltracji organizacji pod pozorem legalnego zatrudnienia [3].

Kolejnym godnym uwagi przykładem jest rozwój wariantów ransomware przy użyciu Claude. Raport opisuje, jak cyberprzestępca wykorzystał LLM do udoskonalenia i dystrybucji wielu szczepów ransomware, z których każdy wyposażony był w zaawansowane techniki unikania wykrycia, silne szyfrowanie i mechanizmy anty-odzyskiwania. Te narzędzia ransomware wspierane przez AI stanowią poważne wyzwanie dla specjalistów ds. cyberbezpieczeństwa, ponieważ zostały zaprojektowane tak, aby omijać tradycyjne metody wykrywania i utrudniać próby odzyskania danych [3].

Równolegle z tymi wydarzeniami, badacze z ESET zidentyfikowali nowe ransomware zasilane przez AI o nazwie PromptLock, które znajduje się obecnie na etapie proof-of-concept. Według raportu opublikowanego 26 sierpnia, PromptLock jest pierwszym znanym ransomware wykorzystującym generatywny model AI do realizacji ataku. Złośliwe oprogramowanie korzysta z modelu OpenAI gpt-oss:20b, uzyskując do niego dostęp przez API Ollama, aby dynamicznie generować złośliwe skrypty Lua. Skrypty te, które są wieloplatformowe i mogą działać na Windows, Linux i macOS, wykonują takie zadania jak enumeracja systemu plików, eksfiltracja danych i szyfrowanie [3].

PromptLock został napisany w Golang i zaobserwowano jego warianty zarówno dla Windows, jak i Linux, przesłane do VirusTotal. Badacze zauważyli, że złośliwe oprogramowanie nie zawiera jeszcze funkcji niszczenia danych i wydaje się być w fazie rozwoju. Jednak odkrycie ransomware zasilanego przez AI na jakimkolwiek etapie rozwoju budzi niepokój wśród ekspertów ds. cyberbezpieczeństwa. Podejście zastosowane przez PromptLock jest zgodne z techniką „Internal Proxy”, która polega na ustanowieniu tunelu z przejętej sieci do zdalnego serwera hostującego model AI. Ta taktyka staje się coraz bardziej powszechna we współczesnych cyberatakach, oferując atakującym sposób na unikanie wykrycia przy jednoczesnym utrzymaniu trwałości [3].

Pojawienie się ransomware zasilanego przez AI oraz szersze wykorzystanie LLM do złośliwych celów sygnalizują rosnący krajobraz zagrożeń, w którym cyberprzestępcy szybko adaptują się do nowych technologii. W miarę jak AI będzie się rozwijać, prawdopodobne jest, że atakujący będą nadal wykorzystywać te narzędzia do bardziej zaawansowanych i zautomatyzowanych operacji cybernetycznych. Organizacje muszą pozostać czujne i inwestować w solidne środki cyberbezpieczeństwa, aby ograniczyć ryzyka związane z tymi nowymi zagrożeniami [3].

Źródło: