מחקר: ה-AI עושה טוב לכופרות, שצמחו בכמעט 400%

פשיעת הסייבר כבר לא פועלת כסדרה של קמפיינים מבודדים, אלא מתפקדת כמערכת: התוקפים פועלים לאורך כל מחזור החיים של המתקפות ומבצעים קיצור של מחזור חיי המתקפה – באמצעות סוכני AI ייעודיים, כך לפי מחקר חדש של פורטינט (Fortinet).

על פי מפת האיומים הגלובלית 2026 של FortiGuard Labs – גוף מודיעין האיומים והמחקר של החברה – "פשיעת הסייבר המודרנית חוצה גבולות ומגזרים ואפילו את ההגדרות המסורתיות של הפשיעה עצמה – ככל שהמתקפות הופכות למתוחכמות יותר".

עורכי המחקר – 2026 Fortinet Global Threat Landscape Report שמו – ציינו כי "המהירות מגדירה את הסיכון, כאשר ה-TTE (הזמן לניצול פגיעויות) מצטמצם: כשהשימוש ב-AI מאיץ את איסוף המודיעין, החימוש והביצוע, הזמן לניצול פגיעויות עומד על 24-48 שעות עבור התפרצויות קריטיות. זו עלייה חדה לעומת העבר, אז הזמן עמד על 4.76 ימים לניצול פגיעויות". הם הסבירו כי "תקריות אבטחה בעולם האמיתי משקפות כיצד דקות יכולות להגדיר תוצאות: נסיונות פעילים לניצול בוצעו תוך שעות מהחשיפה הפומבית של פגיעות React2Shell".

עוד נחשף כי חל זינוק במספר קורבנות הכופרה: חוקרי FortiGuard Labs זיהו 7,831 קורבנות כופרה ברחבי העולם, מה שמהווה זינוק מכ-1,600 קורבנות מהשנה שעברה.

לפי המחקר, הזמינות של ערכות שירותי פשיעה כמו WormGPT, FraudGPT ו-BruteForceAI – תרמה לעלייה של 389% משנה לשנה.

שלושת המגזרים המובילים המהווים יעד לתקיפות כוללים את מגזר הייצור (1,284), שירותים עסקיים (824) וקמעונאות (682). הריכוז הגיאוגרפי כולל את ארה"ב (3,381), קנדה (374) וגרמניה (291).

הזהות מגדילה את החשיפה בענן

עוד מצא המחקר כי "התפשטות הזהויות מגדילה את החשיפה של הענן: במהלך 2025, רוב תקריות הענן נבעו מפרטים שנגנבו, נחשפו או נוצלו לרעה – ולא מניצול של תשתיות".

ניתוח של מגזרים מראה כי בתי חולים, מרפאות ועסקים קמעונאיים היו היעד העיקרי. אוכלוסיות זהויות גדולות, מודלים של גישה מאוחדת ואינטגרציות ענן מורכבות, "כל אלה הופכים ליעדים המרכזיים עבור האקרים".

עוד נכתב כי "קבוצות האיומים המתקדמות ביותר פועלות כארגונים חצי-אוטונומיים, הנתמכים על ידי סוכני AI, מתווכי גישה ומפעילי בוטנטים, המספקים שירותים לפי דרישה. כך, סוכני ה-AI מפחיתים את דרישות המיומנות תוך הגברת מהירות העבודה". מודיעין הרשת האפלה של FortiRecon זיהה כלים התקפיים מבוססי AI שפורסמו כשירותים ומוצרים, כולל גרסאות משופרות של WormGPT ו-FraudGPT; שירותים חדשניים כמו HexStrike AI – כלי AI התקפית עם יצירת מסלולי תקיפה אוטומטיים של איסוף מודיעין; ו-BruteForceAI, כלי בדיקת חדירה שמשלב מודלי שפה גדולים (LLMs) לניתוח טפסים חכם ויכול לבצע מתקפות מתוחכמות מרובות תהליכים.

לפי המחקר, מערכי נתונים גנובים פופולריים יותר מפרטים מזהים שדלפו. במחקר של 2025, נמצאה עלייה של 500% ביומנים הזמינים ממערכות שנפרצו על ידי נוזקות של Infostealer. השנה, חלה עלייה נוספת, של 79% – עם שינוי, לכיוון גניבת מערכי נתונים מקיפים יותר, המתאפשר על ידי בינה מלאכותית מבוססת סוכנים.

בתוך פעילות בסיסי הנתונים ברשת האפלה, stealer logs (נוזקות הגונבות פרטים ממחשבים נגועים) שלטו במאגרי נתונים שפורסמו ושותפו (67.12%). בכך הן עברו את ה-combo lists (רשימות המכילות שמות משתמש, סיסמאות וכתובות דוא"ל גנובים, 16.47%) ודליפת פרטים מזהים (5.96%). ה-stealer logs מפחיתים את מאמצי התוקף, על ידי שילוב מידע בנוגע לזהות עם עקבות דיגיטליים (artifacts) בעלי הקשר, כולל נתוני תושבי הדפדפן, מה שמאפשר הפעלה מיידית והמרה מהירה יותר מאשר טכניקות של brute force או ריסוס סיסמאות.

הלהיט: נוזקות גונבות מידע

עוד ציינו החוקרים כי "נוזקות הגונבות פרטים מזהים שומרות על מעמדן כ'תעשייה רווחית' ומנוע ראשי ליצירת חשיפה. הטלמטריה של פורטינט העלתה פעילות של נוזקת גניבה הנשלטת על ידי RedLine עם 911,968 הדבקות (50.80%), Lumma עם 499,784 הדבקות (27.84%) ו-Vidar עם 236,778 הדבקות (13.19%).

דרק מאנקי, אסטרטג אבטחה ראשי וסגן נשיא גלובלי למודיעין איומים ב-FortiGuard Labs, פורטינט, אמר כי "פשיעת סייבר זהו אחד האיומים הנרחבים והיקרים ביותר בעולם. הדו"ח שלנו חושף כיצד שחקנים זדוניים מתחילים להשתמש בבינה מלאכותית סוכנית כדי לבצע מתקפות מתוחכמות יותר. ככל שפושעי הסייבר משתמשים יותר ויותר ב-AI כדי לחזק את הטקטיקות שלהם, המגינים חייבים לפתח את פעולות אבטחת הסייבר להגנה מתועשת ולאמץ כלים מבוססי AI המגיבים באותה המהירות כמו איומים מודרניים".