La era del ransomware generado con IA ya está aquí
Anthropic dice que prohibió la cuenta vinculada a la operación de ransomware e introdujo «nuevos métodos» para detectar y prevenir la generación de malware en sus plataformas. Estos incluyen el uso de detección de patrones conocidos como reglas YARA para buscar malware y hashes de malware que puedan ser subidos a sus plataformas.
Aunque hasta ahora este tipo de actividad no parece ser la norma en el ecosistema del ransomware, los resultados representan una dura advertencia.
«Definitivamente hay algunos grupos que están utilizando la IA para ayudar con el desarrollo de módulos de ransomware y malware, pero por lo que Recorded Future puede decir, la mayoría no lo está haciendo», expresa Allan Liska, analista de la firma de seguridad Recorded Future que se especializa en ransomware. «Donde sí vemos un mayor uso generalizado de la IA es en el acceso inicial».
El primer ransomware que conocemos impulsado por IA
Por otro lado, investigadores de la empresa de ciberseguridad ESET señalaron esta semana haber descubierto el «primer ransomware impulsado por IA conocido», apodado PromptLock. Los investigadores indican que el malware, que en gran medida se ejecuta localmente en una máquina y utiliza un modelo de IA de código abierto de OpenAI, puede «generar scripts Lua maliciosos sobre la marcha» y los utiliza para inspeccionar los archivos que los hackers pueden tener como objetivo, robar datos y desplegar el cifrado. ESET cree que el código es una prueba de concepto que aparentemente no se ha desplegado contra las víctimas, pero los investigadores subrayan que ilustra cómo los ciberdelincuentes están empezando a utilizar los LLM como parte de sus conjuntos de herramientas.
«Desplegar ransomware asistido por IA presenta ciertos desafíos, principalmente debido al gran tamaño de los modelos de IA y sus altos requisitos computacionales. Sin embargo, es posible que los ciberdelincuentes encuentren formas de eludir estas limitaciones», escribieron en un correo electrónico a WIRED los investigadores de malware de ESET Anton Cherepanov y Peter Strycek, quienes descubrieron el nuevo ransomware. «En cuanto al desarrollo, es casi seguro que los actores de amenazas están explorando activamente esta área, y es probable que veamos más intentos de crear amenazas cada vez más sofisticadas».
Aunque PromptLock no se ha utilizado en el mundo real, los hallazgos de Anthropic subrayan aún más la velocidad con la que los ciberdelincuentes se están moviendo para construir LLM en sus operaciones e infraestructura. La empresa de IA también descubrió otro grupo de ciberdelincuentes, al que rastrea como GTG-2002, que utiliza Claude Code para encontrar automáticamente objetivos a los que atacar, acceder a las redes de las víctimas, desarrollar malware y, a continuación, extraer datos, analizar lo robado y elaborar una nota de rescate.
En el último mes, este ataque ha afectado a «al menos» 17 organizaciones gubernamentales, sanitarias, servicios de emergencia e instituciones religiosas, añade Anthropic, sin nombrar ninguna de las organizaciones afectadas. «La operación demuestra una evolución preocupante en la ciberdelincuencia asistida por IA», escribieron los investigadores de Anthropic en su informe, «donde la IA sirve como consultor técnico y operador activo, permitiendo ataques que serían más difíciles y lentos de ejecutar manualmente para los actores individuales.»
Artículo publicado originalmente en WIRED. Adaptado por Mauricio Serfatty Godoy.
