Max Heinemeyer, Director of Threat Hunting, Darktrace.

Los ciberdelincuentes que buscan utilizar ransomware como técnica para obtener ganancias financieras deben pensar como un emprendedor: la búsqueda incesante de ganancias, guía cada movimiento que hacen. En cada etapa del ciclo de vida del ataque, se hacen las mismas preguntas: ¿cómo puedo minimizar mi tiempo y recursos? ¿Cómo puedo mitigar el riesgo? ¿Qué medidas puedo tomar para obtener los mejores resultados?

Esta forma de pensar descubre por qué los atacantes están recurriendo a nuevas tecnologías en un intento de maximizar la eficiencia, y por qué un informe de Forrester a principios de este año, reveló que el 88% de los líderes de seguridad ahora consideran que el uso malicioso de la IA en la actividad cibernética es inevitable. Más de la mitad de los que respondieron a esa misma encuesta prevén que los ataques de IA se manifestarán al público en los próximos doce meses, o creen que ya están ocurriendo.

El ransomware es solo la etapa final de una amenaza persistente avanzada (APT) típica. La realidad es que el uso de IA ofensiva puede aprovecharse para dar a los atacantes una ventaja en cada etapa de la cadena, desde la intrusión inicial hasta la identificación de archivos confidenciales para el cifrado.

Mejorando el ciclo de vida del ataque

Para una red de ciberdelincuentes, los beneficios de aprovechar la IA en sus ataques son al menos cuatro veces mayores:

• Les da una comprensión del contexto
• Ayuda a ampliar las operaciones
• Hace que la atribución y la detección sean más difíciles
• En última instancia, aumenta su rentabilidad.

Analicemos el ciclo de vida de un intento típico de exfiltración de datos:

Reconocimiento

Los chatbots automatizados interactúan con los empleados a través de las redes sociales, aprovechando las imágenes de perfil de personas inexistentes creadas por IA. Mientras tanto, los interruptores CAPTCHA se utilizan para el reconocimiento automático en las páginas web públicas de la organización.

Intrusión

Luego, los atacantes elaboran convincentes ataques de spear phishing, mientras que se puede aprovechar una versión adaptada de SNAP_R para crear tweets realistas a escala, dirigidos a varios empleados clave. Los tweets engañan al usuario para que descargue documentos maliciosos o contienen enlaces a servidores que facilitan los ataques de exploit-kit.

Un motor de fuzzing de vulnerabilidades autónomo basado en Shellphish rastrearía constantemente el perímetro de la víctima (servidores y sitios web con acceso a Internet) y trataría de encontrar nuevas vulnerabilidades para un punto de apoyo inicial.

Comando y control

Un marco de piratería popular, Empire, permite a los atacantes "camuflarse" con las operaciones comerciales habituales, restringiendo el tráfico de mando y control a los períodos de máxima actividad. Es posible que un agente utilice algún tipo de motor de toma de decisiones automatizado para el movimiento lateral ni siquiera requiera comando y control del tráfico. La eliminación de la necesidad de comando y control del tráfico reduce drásticamente la superficie de detección del malware existente.

Escalada de privilegios

En esta etapa, un rastreador de contraseñas podría introducir palabras clave específicas de destino en una red neuronal previamente entrenada, creando cientos de permutaciones realistas de contraseñas contextualizadas a la velocidad de la máquina. Estos se pueden ingresar automáticamente en ráfagas de períodos para no alertar al equipo de seguridad o desencadenar reinicios.

Movimiento lateral

El movimiento lateral puede acelerarse mediante conceptos del marco CALDERA utilizando métodos de IA de planificación automatizada. Esto reduciría considerablemente el tiempo necesario para llegar al destino final.

Exfiltración y cifrado de datos

En lugar de ejecutar una costosa operación de análisis posterior a la intrusión y examinar gigabytes de datos, los atacantes pueden aprovechar una red neuronal que preselecciona solo el material relevante para la exfiltración o el cifrado de archivos. Los atacantes recurren cada vez más a ataques de "doble extorsión" que no solo cifran y emiten una nota de rescate, sino que además exfiltran los datos para poner presión.  

Conclusión

La IA ofensiva hará que la detección y la respuesta a los ataques sean mucho más difíciles. Los controles de seguridad tradicionales que se basan en reglas y firmas ya están luchando para detectar ataques que nunca antes se habían visto; estas herramientas serán aún menos efectivas cuando los ataques de IA se conviertan en algo común.

Los propios defensores deben recurrir a la IA si quieren mantenerse por delante de esta próxima ola de ataques, ya que los humanos solos ya no podrán seguir el ritmo. Cientos de organizaciones ya están usando Autonomous Response para luchar contra nuevas variedades de ransomware, amenazas internas, técnicas, herramientas y procedimientos previamente desconocidos, y muchas otras amenazas. Está comenzando una nueva era en defensa cibernética, y el efecto de la IA defensiva en este campo de batalla ya está demostrando ser fundamental.