تحول باجافزارها با هوش مصنوعی مولد
با افزایش جرایم سایبری در سراسر جهان، تحقیقات جدید نشان میدهد که باجافزارها با استفاده از ابزارهای هوش مصنوعی مولد (Generative AI) در حال تحول هستند. در برخی موارد، مهاجمان از AI برای نگارش یادداشتهای باجخواهی تهدیدآمیزتر و انجام حملات اخاذی مؤثرتر استفاده میکنند. اما استفاده از AI در حال پیچیدهتر شدن است. گزارشهای اخیر از شرکت Anthropic و شرکت امنیتی ESET نشان میدهد که مهاجمان سایبری از مدلهای زبانی بزرگ (LLMs) برای توسعه باجافزار و حتی اجرای کل زنجیره حمله استفاده میکنند. آی تی پالس، مرجع اخبار فناوری و امنیت سایبری، این تحول خطرناک را بررسی میکند.
استفاده از هوش مصنوعی در توسعه باجافزار
یافتههای Anthropic: نقش Claude در جرایم سایبری
طبق گزارش تهدیدات سایبری Anthropic، گروهی از مجرمان سایبری در بریتانیا با نام GTG-5004 از مدل زبانی Claude و نسخه کدنویسی آن، Claude Code، برای توسعه، بازاریابی، و توزیع باجافزار با قابلیتهای پیشرفته فرار از تشخیص استفاده کردهاند. این گروه، که از ابتدای ۲۰۲۵ فعال بوده، خدمات باجافزاری را با قیمتهای ۴۰۰ تا ۱۲۰۰ دلار در انجمنهای جرایم سایبری به فروش میرساند. نکته قابلتوجه این است که توسعهدهنده این باجافزار از نظر فنی مهارت بالایی ندارد و بدون کمک Claude قادر به پیادهسازی الگوریتمهای رمزنگاری یا تکنیکهای ضدتحلیل نبود. Anthropic حساب مرتبط با این عملیات را مسدود کرده و از قوانین YARA برای شناسایی و جلوگیری از تولید بدافزار استفاده میکند.
همچنین، گروه دیگری به نام GTG-2002 از Claude Code برای خودکارسازی کل زنجیره حمله، از شناسایی اهداف تا نفوذ به شبکهها، توسعه بدافزار، استخراج دادهها، و تولید یادداشتهای باجخواهی استفاده کرده است. این حملات در ماه گذشته حداقل ۱۷ سازمان در بخشهای دولتی، مراقبتهای بهداشتی، خدمات اضطراری، و مؤسسات مذهبی را تحت تأثیر قرار داده است.
PromptLock: اولین باجافزار مبتنی بر هوش مصنوعی
محققان ESET باجافزاری به نام PromptLock را کشف کردهاند که بهعنوان اولین باجافزار مبتنی بر AI شناخته میشود. این باجافزار، که بهصورت محلی روی دستگاه اجرا میشود، از مدل متنباز gpt-oss:20b شرکت OpenAI از طریق Ollama API استفاده میکند تا اسکریپتهای مخرب Lua را بهصورت پویا تولید کند. این اسکریپتها برای شناسایی فایلها، سرقت دادهها، و رمزنگاری استفاده میشوند. اگرچه PromptLock هنوز در مرحله اثبات مفهوم (PoC) است و در حملات واقعی مشاهده نشده، اما نشاندهنده پتانسیل AI برای ایجاد تهدیدات پویا و فرار از تشخیص است.
چرا هوش مصنوعی باجافزارها را خطرناکتر میکند؟
کاهش موانع فنی
AI موانع فنی برای توسعه بدافزار را کاهش داده و به افراد بدون مهارتهای پیشرفته امکان میدهد باجافزارهای پیچیدهای ایجاد کنند. به گفته Anthropic، GTG-5004 بدون کمک Claude قادر به توسعه الگوریتمهای پیچیده نبود.
تولید کد پویا
برخلاف باجافزارهای سنتی که از کدهای ثابت استفاده میکنند، PromptLock اسکریپتهای Lua را بهصورت پویا تولید میکند. این غیرقابلپیشبینی بودن، تشخیص توسط ابزارهای امنیتی مبتنی بر امضا را دشوار میکند.
خودکارسازی زنجیره حمله
گروه GTG-2002 با استفاده از Claude Code کل فرآیند حمله، از شناسایی هدف تا اخاذی، را خودکار کرده است. این خودکارسازی حملات را سریعتر و گستردهتر میکند.
چالشهای فنی
علیرغم پتانسیل، استفاده از AI در باجافزار چالشهایی دارد. مدلهای AI مانند gpt-oss:20b به منابع محاسباتی بالا نیاز دارند و اجرای آنها روی دستگاههای قربانی دشوار است. با این حال، مهاجمان میتوانند با استفاده از سرورهای مخرب یا پروکسیها این محدودیت را دور بزنند.
پیامدها برای امنیت سایبری
افزایش پیچیدگی تهدیدات
باجافزارهای مبتنی بر AI مانند PromptLock نشاندهنده تکامل تهدیدات سایبری هستند. توانایی تولید کد پویا و فرار از تشخیص، دفاع را پیچیدهتر میکند.
نیاز به دفاعهای پیشرفته
دفاعهای سنتی مبتنی بر امضا دیگر کافی نیستند. سازمانها باید به تشخیص مبتنی بر رفتار، تقسیمبندی شبکه، و پشتیبانگیری آفلاین روی آورند.
هشدار به سازمانها
یافتههای Anthropic و ESET هشداری برای سازمانهاست تا سیاستهای امنیتی خود را بهروزرسانی کنند و بر نظارت بر ترافیک API محلی و رفتارهای غیرعادی تمرکز کنند.
عصر باجافزارهای مبتنی بر هوش مصنوعی با نمونههایی مانند PromptLock و فعالیتهای گروههایی مانند GTG-5004 و GTG-2002 آغاز شده است. این تهدیدات نشان میدهند که AI چگونه موانع فنی را کاهش داده و جرایم سایبری را در دسترستر و پیچیدهتر کرده است. برای مقابله، سازمانها باید استراتژیهای دفاعی خود را با تمرکز بر تشخیص رفتاری و سیاستهای قویتر ارتقا دهند. برای بهروز ماندن با آخرین اخبار امنیت سایبری، آی تی پالس را دنبال کنید.
