Ransomwarové gangy útočí rychleji než kdy dříve. Doba od rekognoskace oběti, infiltrace zařízení, exfiltraci či zašifrování dat se zkracuje z dnů na pouhé hodiny. Umocňující trend podporuje nový „pomocník“ – umělá inteligence (AI). Její sílu lze však využít i k obraně.
Ransomware, tedy typ malwaru, který šifruje data oběti a požaduje výkupné za jejich opětovné dešifrování, se stává sofistikovanějším a nebezpečnějším. „Jedním z nejvíce znepokojivých trendů v oblasti ransomwarových útoků je zkracující se doba od rekognoskace oběti, infiltrace do zařízení až po exfiltraci a zašifrování dat. Zatímco dříve tento proces trval dny, v dnešní době se může odehrát i v řádu hodin“ odhaluje Petr Kocmich, Global Cyber Security Delivery Manager společnosti Soitron.
To firmám dává méně času na reakci a zvyšuje pravděpodobnost, že zaplatí výkupné, aby obnovily přístup ke svým datům. V mnoha případech dochází k šifrování dat do 24 hodin od prvního narušení. V roce 2022 to přitom podle Petra Kocmicha bylo minimálně pět dnů a bezpečnostní mechanismy firem tak měly mnohem více času podezřelou aktivitu, respektive útok, řízeně zachytit a nahlásit.
Manuální práce je minulostí
Je to skoro až paradoxní, ale důvodem tohoto překotného vývoje je zvyšování úrovně kybernetické bezpečnosti ve firmách. Útočníci vědí, že musí jednat v kratších časových rámcích, aby se vyhnuli odhalení. Mnoho společností používá MDR a EDR ochranu (Managed, respektive Endpoint Detection and Response) a jsou tak na útok lépe připraveny.
MDR a EDR jsou technologie kybernetické bezpečnosti, které firmám umožňují sledovat a reagovat na kybernetické hrozby v koncových bodech, jako jsou notebooky, stolní počítače, mobilní zařízení či servery. EDR systémy z nich sbírají data a analyzují je v reálném čase, aby identifikovaly podezřelé aktivity, které by mohly indikovat kybernetický útok. Útočníci se tomuto trendu snaží přizpůsobit, a proto své škodlivé aktivity provádějí rychleji a efektivněji. „V minulosti museli útočníci s ransomwarem provést spoustu manuální práce. Například ručně spouštět příkazy a skripty, analyzovat nastavení sítě a hledat zranitelná místa. To byl zdlouhavý proces, který hrozil odhalením. Díky automatizaci, různým nástrojům, on-line komunitám a nově i umělé inteligenci se útočníkům otevřely nevídané možnosti,“ vysvětluje Petr Kocmich.
Trendem je automatizace úkolů při vlastních útocích
Útočníci mohou využít AI k automatizaci úkolů, a to jak při skenování zranitelnosti sítí, tak při provádění útoků typu brute-force, což jim umožňuje provést více útoků v kratším čase a s menším úsilím.
Umělá inteligence navíc dokáže analyzovat velké objemy dat, aby identifikovala potenciálně nejvhodnější cíle pro ransomwarové útoky. Zároveň může být použita k vývoji malwaru, který je lépe schopen obejít bezpečnostní systémy. V neposlední řadě může být AI použita k vytváření personalizovaných phishingových e-mailů či nástrojů sociálního inženýrství. S jejich pomocí poté dochází k útokům, které s větší pravděpodobností překonají ostražitost obětí a povedou k prozrazení citlivých informací nebo instalaci malwaru.
Využití AI k ochraně
Umělá inteligence sice působí jako katalyzátor ransomwarových útoků, ale může zároveň pomáhat s jejich prevencí. Moderní řešení pro detekci anomálií využívají umělou inteligenci k analýze síťového provozu a chování uživatelů a k rozpoznání odchylek od běžných vzorců, které by mohly indikovat útok. Tato technologie umožňuje včasnou detekci podezřelých aktivit, i když útočníci používají sofistikované metody k obcházení tradičních bezpečnostních systémů.
AI lze rovněž použít k šifrování dat a k ochraně před neoprávněným přístupem i v situaci, kdy se útočníkům podaří proniknout do sítě. Systémy pro správu dat poháněné umělou inteligencí dokáží automaticky identifikovat a klasifikovat citlivá data a implementovat příslušná bezpečnostní opatření. „Řešení pro simulaci kybernetických útoků umožňují organizacím testovat své obranné systémy a identifikovat slabé stránky v reálném prostředí,“ dodává Petr Kocmich.
Umělá inteligence se dá použít k simulaci komplexních a sofistikovaných útoků, takže se firmy mohou lépe připravit na skutečné hrozby. V případě ransomware útoku je možné použít AI k analýze dat a k identifikaci zdrojů útoku a použitých metod. Firmy tak mohou lépe porozumět hrozbě a přijmout kroky k prevenci budoucích útoků.
Dobrý sluha, zlý pán
Zneužívání umělé inteligence ransomwarovými gangy je komplexní a dynamická hrozba, která vyžaduje neustálé vylepšování a adaptaci bezpečnostních strategií. „Umělá inteligence je nástroj, který může být využit pro užitečné i nebezpečné cíle a záměry. Budoucnost kybernetické bezpečnosti proto závisí na tom, jak se AI bude zodpovědně vyvíjet a používat,“ zakončuje Petr Kocmich.