"כנופיות הכופרות משתמשות ב-LLMs כמאיץ מבצעי"

"השימוש של האקרים בכלל וחברי כנופיות כופרה בפרט, במודלי שפה גדולים (LLMs) הוא בהחלט מגמה חשובה, הממשיכה לצמוח. אלא שהמגמה המדאיגה משקפת האצה מבצעית-תפעולית בעבודתם – ולא שינוי יסודי ביכולות של התוקפים. זו אינה מהפכה", כך אמרה אלכס דלאמוט, חוקרת איומים בכירה במעבדות המחקר של סנטינלוואן (SentinelLABS).

דלאמוט מתמחה בחקר הצומת שבין פשעי סייבר ממניע כלכלי לפעילות תקיפה בחסות מדינות. בזמנה הפנוי היא מתקלטת כדי.ג'יי. בראיון לאנשים ומחשבים אמרה דלאמוט כי "ההאקרים עושים שימוש נרחב ביכולות ה-AI החדשות, כולל במודלי שפה גדולים. אלה מאיצים את מחזור החיים של מתקפות הכופרה, אבל לא משנים אותו באופן יסודי. המעקב אחר פעילויות ההאקרים מעלה שיפורים והתקדמויות שלהם בהיבטים רבים: במהירות, בהיקף, בשימוש בשפות רבות, ביכולות הסיור, בפישינג, במיון הנתונים הגנובים וביכולות המשא ומתן שלהם למול הקורבנות. אבל אין שינוי בטקטיקות, ולא הופיעו טכניקות חדשות, כאלה אשר מונעות אך ורק על ידי AI, ובהיקף נרחב".

"לכן", אמרה דלאמוט, "המגינים צריכים להתכונן לכך שיריבים ישיגו באופן הדרגתי הישגים יעילים – אך מהירים".

Why does “powershell” get blocked — but “power” + “shell” gets through?
Why can a nonsense suffix like “::sda_!!” hijack a model’s attention?

It’s not magic — it’s math. We trace the LLM attack surface from tokenization to attention. 🧵 https://t.co/9990FIxPrt pic.twitter.com/bol1oECgfc

— SentinelOne (@SentinelOne) January 15, 2026

השפעת מודלי שפה גדולים על ההגנה וההתקפה

"אחד התחומים שאנו חוקרים במעבדות", סיפרה דלאמוט, "הוא כיצד LLMs משפיעים על הגנת הסייבר – עבור המגינים והיריבים. עקבנו מקרוב אחרי מפעילי הכופרות שמאמצים את הטכנולוגיה. הבחנו בשלושה שינויים מבניים, המתרחשים במקביל. הראשון: פושעי הסייבר ממשיכים להסיר ולהנמיך את מחסומי הכניסה לתחום. LLMs מאפשרים לשחקני איום בעלי מיומנות נמוכה ובינונית לפעול: הם מרכיבים כלי פריצה פונקציונליים ובונים תשתית כופרה כשירות (RaaS) על ידי הפיכת משימות זדוניות להנחיות שנראות תמימות, שיכולות 'להחליק' ולפעול למרות מערכות ההגנה".

"השינוי המבני השני", ציינה דלאמוט, "הוא שמערכת הכופרות העולמית 'חווה פיצול'. עידן הקרטל של מותגי הכופרות הענקיים, LockBit, Conti, REvil – דעך, בשל לחצים וסנקציות מתמשכים מצד סוכנויות אכיפת החוק. במקומם, אנו רואים יותר צוותים קטנים, הפועלים תקופות קצרות יותר ותחת לרדאר".

השינוי השלישי, ציינה, "הוא הטשטוש בין APT לנוזקות. שחקני איום בחסות מדינה, פועלים במקביל כשותפים לקבוצות כופרה, או משתמשים בסחיטה כדי לערפל את פעילותם וזהותם. לצד זה, קבוצות הפועלות ממניעים אחרים, כמו The Com, קונות את עסקי השותפים, מוסיפות רעש ומקשות עלינו לבצע את הייחוס. ראינו זאת כבר עם קבוצות כמו DragonForce, Qilin, ולפני כן עם BlackCat/ALPHV".

"ההבנה של קהילת מודיעין האיומים לגבי האופן המדויק שבו שחקני איומים משלבים LLM בתקיפות – מוגבלת מאוד", אמרה, "אבל אנחנו יכולים לומר שההשפעה המיידית ביותר מגיעה ממפעילי כופרות. הם מאמצים את אותם תהליכי עבודה של LLM שארגונים לגיטימיים משתמשים בהם מדי יום – רק לשימוש בפשיעה: לניסוח מיילים פישינג ותוכן מקומי, לזיהוי מטרות רווחיות מתוך דליפות נתונים, ולייעול הסחיטה".

LLMs – גם לשימושים התקפיים. צילום: Shutterstock

ההאקרים נעזרים ב-MMLs כדי לגבור על מחסומי השפה

"היכולת למיון הנתונים גדלה במיוחד כי היא עוזרת להאקרים להתגבר על מחסומי שפה", ציינה דלאמוט, "LLMs מבטלים את נקודה העיוורון הזו. באמצעותם, התוקפים יכולים להורות למודל 'למצוא את כל המסמכים הקשורים לחוב פיננסי או לסודות מסחריים' – בערבית, הינדי, ספרדית או יפנית".

"יש פה דפוס: האקרים המנצלים מודלי שפה גדולים כדי להאיץ ולייעל את המתקפות, לאפשר עוד מיכון, לייעל משימות חזרתיות ולתרגם לשפת הקורבן בזמן אמת", סיכמה דלאמוט. "המעבדה שלנו עוקבת אחר כמה דפוסי פעילות הקשורים ל-LLM שיהפכו למשמעותיים יותר ויותר בשנה-שנתיים הקרובות. נוזקות המופעלות על ידי LLM, כולל כופרות, יהיו מותאמות, יהיה קשה יותר לזהות אותן, והשליטה בהן תפחת. היכולת של שחקני איומים לייצר תוכן בקנה מידה גדול, יחד עם נרטיבים שנשמעים סבירים על בסיס LLM, תשפיע לרעה על יכולת המגינים לעצור את רדיוס הפיצוץ של ההתקפות. השימוש במודלים לא יביא לסיכון בדמות נוזקות סופר-חכמות, אלא לסחיטה בהיקף תעשייתי, עם בחירת מטרות חכמה יותר, דרישות מותאמות ויכולות חוצות פלטפורמות, שיסבכו את התגובה. המגינים יצטרכו להסתגל לנוף איום מהיר ורועש יותר, שבו קצב הפעולה מגדיר את האתגר, ולא יכולות חדשניות".