L'Intelligenza Artificiale rende il ransomware più pericoloso
- AI e Ransomware
- Il ransomware usa l'apprendimento automatico (ML)
- Come il ransomware può utilizzare l'Intelligenza Artificiale
- IBM ha sviluppato DeepLocker con tecnologia AI
AI e Ransomware
L'intelligenza artificiale (AI) è uno strumento potente che può essere utilizzato dai malintenzionati per rendere il ransomware ancora più pericoloso di quanto non lo sia già.
Negli ultimi anni, gli attacchi ransomware sono diventati sempre più sofisticati e dannosi. Mentre le aziende continuano a investire nelle tecnologie più recenti per proteggere i propri dati, anche i criminali informatici stanno evolvendo le proprie tattiche, con l'intelligenza artificiale in prima linea in questa trasformazione.
Il ransomware esiste da tempo, ma la sua efficacia è aumentata in modo significativo da quando gli aggressori sfruttano la tecnologia AI per identificare i sistemi vulnerabili e lanciare attacchi altamente mirati contro di essi. Utilizzando algoritmi avanzati, gli aggressori possono scansionare rapidamente le reti alla ricerca di punti deboli che possono essere sfruttati e quindi adattare i loro payload di conseguenza, rendendo molto più difficile per le misure di sicurezza tradizionali, come i firewall o il software antivirus, rilevarli o prevenirli prima che il danno sia fatto.
La cosa peggiore è che queste nuove varianti di ransomware sono spesso progettate con tecniche di evasione integrate, in modo da poter rimanere inosservate fino a quando non hanno causato danni irreparabili; le vittime non hanno altra scelta se non quella di pagare per sperare di recuperare i dati perduti o di accedere nuovamente ai loro sistemi senza subire perdite finanziarie significative solo per i costi di inattività. Questo rende la protezione contro queste minacce ancora più difficile, perché anche i metodi tradizionali come i backup potrebbero non funzionare sempre, perché vengono crittografati insieme ad altri file durante un attacco.
Il ransomware usa l'apprendimento automatico (ML)
I ricercatori hanno scoperto che gli attori delle minacce informatiche possono utilizzare modelli di apprendimento automatico Machine Learning (ML) che alimentano l'intelligenza artificiale (AI) per distribuire malware e muoversi lateralmente attraverso le reti aziendali. La tecnologia ML è diventata sempre più la tecnologia mainstream utilizzata dalle aziende. Purtroppo però a causa della complessità dell'implementazione di questi modelli e delle limitate risorse IT della maggior parte delle aziende, le organizzazioni utilizzano spesso archivi open source per la condivisione di modelli di ML, e qui sta il problema, secondo i ricercatori.
Tali archivi spesso mancano di controlli di sicurezza completi, scaricando così il rischio sull'utente finale.
Le auto a guida autonoma, i sistemi di riconoscimento facciale, i robot, i sistemi di guida missilistica, le apparecchiature mediche, gli assistenti digitali, i chatbot, ed i sistemi di raccomandazione online si basano tutti sul ML per funzionare.
Secondo Marta Janus, ricercatrice principale di ML Adversarial presso HiddenLayer, chiunque utilizzi modelli di apprendimento automatico pre-addestrati ottenuti da fonti non attendibili o da librerie pubbliche di software è potenzialmente vulnerabile.
La prudenza suggerisce che tali modelli dovrebbero essere scansionati alla ricerca di codice dannoso - anche se attualmente pochi prodotti offrono questa funzione - e valutati accuratamente in un ambiente sicuro prima di essere eseguiti su una macchina fisica o messi in produzione.
Inoltre, chiunque crei modelli di apprendimento automatico dovrebbe utilizzare formati di archiviazione sicuri, come quelli che non consentono l'esecuzione di codice, e firmare crittograficamente tutti i propri modelli in modo che non possano essere manomessi senza infrangere la firma.
La firma crittografica avrebbe la funzione di garantire l'integrità dei modelli allo stesso modo del software.
Come il ransomware può utilizzare l'Intelligenza Artificiale
Se i criminali informatici sanno esattamente ciò che cerca il software AI di sicurezza, possono evitare di essere scoperti. Inoltre, per evitare il rilevamento, gli hacker possono creare malware e ransomware dotati di intelligenza artificiale, consapevoli della situazione e altamente evasivi, in grado di analizzare i meccanismi di difesa del sistema bersaglio e di imparare rapidamente a imitare le normali comunicazioni del sistema. Il malware, ad esempio, può essere programmato per essere eseguito quando il proprietario del dispositivo utilizza la fotocamera per aggirare la verifica del riconoscimento facciale.
I criminali informatici e i malintenzionati potrebbero utilizzare l'IA anche in altri modi invece di incorporarla nel proprio malware. Potrebbero utilizzare l'apprendimento automatico ML per risolvere i CAPTCHA e aggirare questo tipo di autenticazione. Potrebbero usare l'intelligenza artificiale per scansionare i social media alla ricerca delle persone giuste da colpire con campagne di spear phishing (Tipo di phishing mirato a una organizzazione e/o alle persone rilevanti della organizzazione).
L'intelligenza artificiale può migliorare i risultati dello spear phishing eseguendo operazioni di ricognizione, come l'analisi di centinaia di migliaia di profili di social media per identificare obiettivi rilevanti e di alto profilo. Potrebbero anche creare spam più convincente e più adatto alla potenziale vittima. Può quindi avviare interazioni personalizzate, simili a quelle umane, per ingannare le vittime e indurle a fornire agli aggressori una backdoor. Lo spear phishing è spesso difficile da rilevare da solo.
IBM ha sviluppato DeepLocker con tecnologia AI
IBM ha sviluppato lo strumento di attacco malware DeepLocker proprio per dimostrare come le tecnologie AI esistenti possano essere utilizzate a vantaggio degli attacchi malware. DeepLocker raggiunge il suo obiettivo attraverso l'utilizzo dell'intelligenza artificiale. Lo strumento si camuffa da software di videoconferenza e rimane inosservato fino a quando la vittima designata non viene identificata tramite il riconoscimento facciale e vocale e altri attributi. A quel punto sferra l'attacco. L'ipotesi dell'IBM è che I criminali informatici possano utilizzare un'intelligenza simile nel proprio malware per infettare i sistemi senza essere rilevati.
Nel complesso, i ricercatori hanno dichiarato che l'adozione di una postura di sicurezza che comprenda la comprensione del rischio, la risoluzione dei punti ciechi e l'identificazione delle aree da migliorare in tutti i modelli di ML implementati in un'azienda può aiutare a mitigare un attacco da questi vettori.
In secondo luogo, disporre di una soluzione di backup affidabile contribuirà a garantire che le informazioni importanti rimangano al sicuro nel caso in cui qualcosa sfugga alle maglie della rete,
In conclusione, mentre l'intelligenza artificiale presenta certamente sfide uniche in termini di prevenzione di cyber attacchi disastrosi, l'adozione di un approccio proattivo rimanendo informati sugli ultimi sviluppi del settore si rivelerà in ultima analisi prezioso per ridurre al minimo i rischi associati alle moderne minacce digitali.
Autore: Marco R. Marzaduri