This post is also available in:
English (אנגלית)
ניתוח חדש של חברת המודיעין בנושא בלוקצ’יין TRM Labs חשף את הופעתן של לפחות תשע קבוצות כופרה חדשות במהלך השנה האחרונה, כאשר בינה מלאכותית ממלאת תפקיד מרכזי בצמיחתן ובשיטות הפעולה שלהן.
הדו"ח מדגיש כיצד למידת מכונה מאפשרת גם לשחקנים חסרי ניסיון להשתלב באקו-סיסטם של תקיפות כופרה. בעזרת AI ניתן להפוך יצירת קוד זדוני לאוטומטית, לבצע הנדסה חברתית, וליצור נוזקות פולימורפיות – כלומר כאלה שמשנות את צורתן ומבנה הקוד שלהן – מה שמאפשר לקבוצות להתפשט במהירות ולהסתגל ביעילות לאמצעי אבטחה.
התשע שזוהו כוללות שמות כמו:
Arkana Security, Dire Wolf, Frag,Sarcoma, AiLock, APTLock, Kairos (וגרסה מתקדמת בשם Kairos V2), Weyhro ו-Termite.
חלקן, כמו Termite, נחשדות כמותגים מחודשים של קבוצות ותיקות כגון Babuk. אחרות, למשל AiLock, אף מקדמות בגלוי את השימוש שלהן ב-AI ככלי התקפי. קבוצה בשם APTLock אף נחשדת בקשרים ל-Fancy Bear – קבוצת תקיפה הנתמכת על ידי המדינה הרוסית.
שלא כמו קבוצות כופרה מסורתיות שהתמקדו בעיקר בהצפנת נתונים ודרישת תשלום, הקבוצות החדשות נשענות יותר ויותר על טקטיקות סחיטה מתקדמות: איום בפגיעה במוניטין, חשיפת מידע לציבור, או עידוד בדיקות רגולטוריות נגד הקורבן – כלים שמטרתם למקסם לחץ פסיכולוגי במקום "רק" לשבש תשתיות.
לפי TRM Labs, כמה מהקבוצות מפגינות בשלות מבצעית מרשימה, עם קמפיינים מתוכננים היטב נגד ארגונים בגודל בינוני בצפון אמריקה ואירופה. חלקן פועלות במודל גמיש של "כופרה כשירות" (Ransomware-as-a-Service, או RaaS) מה שמאפשר גם לתוקפים חסרי ניסיון לפרוס ערכות תקיפה מוכנות מראש.
הדו"ח מציין גם מגמה מתרחבת של הלבנת כספים במטבעות קריפטוגרפיים. אמנם ביטקוין (BTC) נשאר שיטת התשלום המועדפת לדרישות כופר, אך יותר תוקפים ממירים את ההכנסות למטבעות חלופיים כמו אתריום (ETH), טרון (TRX) ואחרים – כדי להקשות על מעקב וזיהוי.
ככל שיותר שחקנים מאמצים כלים מבוססי AI, TRM מזהירה כי זיהוי מבוסס חתימות (signature-based detection) כבר לא יספיק. היא ממליצה לעבור למעקב מבוסס התנהגות, מודיעין איומים מחוזק בבינה מלאכותית, ויישום מסגרות אבטחה בסביבת "Zero Trust".
