"רוב ההאקרים לא עושים שימוש ב-AI במתקפות"

"עולם הסייבר מתאפיין בגיוון ובריבוי סוגים של איומים – ממתקפות מתוחכמות, מבוססות AI, עד לכלי תקיפה 'ישנים', כמו מתקפות מניעת שירות מבוזרות (DDoS). אלא שעל אף שפושעי הסייבר מתקדמים כל הזמן, הגישה בקרבם כלפי מתקפות שמונעות על ידי AI היא שלילית. צללנו לתוך אינטראקציות עם פושעי סייבר וגילינו שרוב הפעילות בפורומים הייתה מוגבלת לשיתוף רעיונות, הוכחת מושגים ומחשבות. חלק מההאקרים החליטו שכלי ה-LLM (מודל שפה גדול) עדיין לא בשלים, או מאובטחים מספיק כדי לסייע בהתקפות. במקום זאת משתמשים בהם למטרות אחרות, כגון משימות קידוד בסיסיות או שיפורים בפורום", כך אמר צ'סטר ווישנייבסקי, מדען מחקר ראשי בסופוס.

ווישנייבסקי אמר בראיון בלעדי לאנשים ומחשבים כי "באחרונה חשפנו תובנות על הנוף המתפתח של איומי הסייבר המונעים על ידי בינה מלאכותית. בדו"ח הראשון שלנו בנושא, שכותרתו 'הצד האפל של הבינה המלאכותית: קמפיינים להונאה בקנה מידה גדול שהפכו אפשריים על ידי AI', שפכנו אור על הניצול הפוטנציאלי של טכנולוגיות כמו ChatGPT על ידי רמאים. הדו"ח צופה עתיד שבו ההאקרים יוכלו לבצע הונאות בהיקף מסיבי, ההיקף שלהן יגדל והפושעים יצליחו לעשות זאת על אף שיש להם מומחיות טכנית מינימלית".

המגמות והאיומים האחרונים

בהתייחסו לאיומי הסייבר האחרונים הוא ציין כי "גניבת אישורים וניצול חולשות ופגמים לא מתוקנים בציוד שפונה לאינטרנט ממשיכים להוות – עדיין – צמד הסיבות העיקריות לכך שארגונים ממשיכים להיפגע בסייבר. אנחנו ממשיכים לראות פושעים המתמקדים בדרכים לעקוף אימות רב גורמי (MFA), ככל שהאימוץ של יכולת הגנתית זו ממשיך לגדול. ההאקרים ממשיכים לפעול לשילוב של שרתי פרוקסי זדוניים, מתקפות הנדסה חברתית וגניבת קבצי Cookie. עוד הם פועלים בשיטת 'מתקפות עייפות' – שפועלות נגד אימות רב גורמי, תוך שימוש בהנדסה חברתית. כאשר הקורבנות מקבלים מבול של ניסיונות התחברות, גדל הסיכוי שהם ילחצו על 'קבל' לפחות פעם אחת".

"מגמה נוספת", ציין, "עלתה בדו"ח ה-Active Adversary האחרון שלנו, שבו ניתחנו מקרים של תגובת תקריות (IR) מינואר 2022 עד למחצית הראשונה של 2023. אז שמנו לב שיומני טלמטריה חסרים בכמעט 42% ממקרי התקיפה שנחקרו. הדו"ח גם הדגיש את הירידה בזמן השהייה – משמע, הזמן מהגישה הראשונית של התוקפים למערכות הקורבן עד לזיהוי שלהם. כך, 38% ממתקפות הכופר ה-'מהירות' התרחשו בתוך חמישה ימים מהגישה הראשונית".

האם יש נחשול של מתקפות שנתמכות על ידי מדינות?

לגבי מתקפות שנתמכות על ידי מדינות, ווישנייבסקי אמר כי "השחקנים הממלכתיים המעורבים ברוב פשעי הסייבר וגניבת המידע לא משנים הרבה – רק הטכניקות שלהם משתנות. אנחנו עדיין רואים הכי הרבה פעילות מהכיוון של צפון קוריאה, סין, רוסיה ואיראן. זה לא אומר שאין הרבה קבוצות אחרות שנתמכות על ידי מדינה בחוץ, אבל ארבע מדינות אלה אחראיות לרוב התקריות שנצפו. קשה למדוד האם יש עלייה בפעילות זו. הכול תלוי על מי אתה אחראי להגן ועד כמה אתה עושה זאת. לא הייתי מאפיין את זה כנחשול, אבל בהחלט מדובר בזרם קבוע של פעילות".

"בעולם הכופרות", ציין, "אנחנו רואים את הפושעים נעים קדימה ואחורה, בין שימוש באישורים גנובים לניצול פגיעויות שלא טופלו. הרוחות נושבות לשני הכיוונים. אנחנו רואים גם מגמה של מה שמכונה 'כופרה מרוחקת': הפושעים חודרים למכשיר בודד ומשתמשים בו כדי להגיע לכל שיתופי הקבצים במחשבים האחרים, ואז מצפינים אותם מרחוק. הם עושים זאת דרך המחשב שנפרץ בתחילה, שלעתים קרובות לא היה מוגן מספיק, אם בכלל".

לדברי ווישנייבסקי, "נוף האיומים של 2024 ייראה במידה רבה כמו נוף האיומים של 2023, אבל יעיל יותר ועם פיתולים אופורטוניסטיים. פושעים מחפשים רק דבר אחד – כסף. הם ימשיכו לפדות ולסחוט את דרכם ללשון הרע ולעושר. המקום שבו אנחנו רואים הבדלים הוא סביב מה שמאפשר בקלות רבה את הפעילות הפלילית הזו. משנה לשנה אנחנו רואים – שוב ושוב – שינויים בין ניצול פגיעויות ושימוש באישורים גנובים, כדי לקבל גישה לרשתות של קורבנות. אחד המאפיינים של 2023 היה התקדמות רבה בניצול לרעה של שרשרות אספקה, כנתיב פריצה לקורבנות. זה מבוצע באחת מכמה דרכים: חדירה לספקי שירות מנוהלים (MSPs), מכשירי שיתוף קבצים או באמצעות ספקי אימות. לפעמים, הדרך הקלה ביותר לפרוץ היא דרך הדלת האחורית. ככל שאנחנו ממשיכים להקשיח את הרשתות שלנו ולאמץ מודלים נוספים של 'כשירות', כך אנחנו יכולים לצפות שמתקפות מסוג זה יגדלו במהלך 2024".