Minacce AI-driven: intelligenza artificiale nei toolkit cybercriminali

I cybercriminali utilizzano l’intelligenza artificiale per potenziare i propri ransomware e realizzare campagne di phishing indistinguibili da quelle genuine.

Le tendenze IA dei cybercriminali
Phishing e Social Engineering AI-driven
Ransomware AI-driven
Semplificazione dello sviluppo di malware ed exploit sofisticati
Come difendersi dai vettori di attacco AI-driven?

L’intelligenza artificiale sta lentamente apportando una rivoluzione significativa in più settori produttivi.
Quello informatico è ovviamente il maggiormente influenzato dal suo impatto, con risvolti sia positivi, che negativi.
Se da una parte abbiamo degli strumenti in grado di affiancare l’essere umano nei suoi compiti quotidiani, dall’altra abbiamo la sua infiltrazione nel mondo criminale. Infatti, stando alle recenti indagini condotte dall’Europol e dal gruppo Trellix, è emerso che sempre più collettivi cybercriminali stanno iniziando a implementare l’intelligenza artificiale all’interno dei propri toolkit d’attacco. Ciò comporta nuove e significative sfide per i team di sicurezza informatica e gli ingegneri software ad essi affiliati.

Questo perché l’IA è capace di analizzare rapidamente grandi volumi di dati, creare elementi personalizzati e violare con semplicità le difese tradizionali.
Insomma: si spazia da ransomware con moduli di machine learning, fino ad attacchi phishing generati sulla base della profilazione automatica della vittima.
Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Le tendenze IA dei cybercriminali

Come tutte le tecnologie emergenti, l’IA non ha impiegato molto tempo a farsi strada nel panorama dei prodotti consumer.
Sempre più aziende, organizzazioni, pubbliche amministrazioni e utenti semplici hanno dato il via ad un’autentica corsa all’IA, cercando di dotarsi degli ultimi ritrovati in tale ambito. Tuttavia, i criminali informatici non sono rimasti a guardare, finendo inevitabilmente per adottarla come veicolo d’attacco. I diversi report stilati dagli esperti di cybersecurity e dalle forze governative internazionali, hanno evidenziato come i nuovi attacchi basati su IA siano più complessi e difficili da prevenire. Questo perché i nuovi toolkit sono sfruttati essenzialmente in tre modi.
Vediamoli nel dettaglio.

Tradizionalmente gli attacchi phishing sono basati su tecniche rudimentali.
Si sceglie una vittima, la si studia, si carpiscono i suoi interessi e si confeziona il contenuto malevolo ad hoc. Tuttavia, con l’introduzione degli LLM (Large Language Model) come ChatGPT e Google Gemini, il panorama dei contenuti generati è cambiato drasticamente. L’IA, infatti, permette la generazione di e-mail, messaggi di testo, immagini e contenuti altamente personalizzati. Questo perché il modello si basa su collezioni di dati e informazioni raccolte tramite data scraping.

Mediante questo principio, i cybercriminali sono in grado di dare vita ad attacchi mirati, sfruttando proprio le informazioni personali del bersaglio preso di mira. Gli LLM permettono loro di creare e-mail e contenuti fraudolenti quasi indistinguibili da quelli genuini. Con questo espediente, le chance che l’attacco vada a segno aumentano drasticamente, complicando di molto il compito di identificarli come minacce effettive. Questo non solo negli esperti di cybersecurity, ma anche negli utenti informatici più avanzati.

Ransomware AI-driven

I collettivi cybercriminali maggiormente attivi nel campo dei ransomware-as-a-service hanno iniziato integrare moduli basati sull’intelligenza artificiale nei loro vettori d’attacco. Ciò rende il processo di selezione dei bersagli e l’ottimizzazione delle operazioni più automatizzato. Grazie al machine learning, i ransomware sono in grado di individuare vulnerabilità nei sistemi e identificare obiettivi più propensi a pagare il riscatto. Tale processo avviene attraverso l’analisi automatica di grandi volumi di dati. Di conseguenza, l’impatto di un ransomware Ai-driven su un’organizzazione è molto più devastante rispetto a uno tradizionale. Questo contribuisce, inoltre, a incrementare significativamente anche la pressione psicologica sulla vittima.

Questo perché un ransomware AI-driven è in grado di superare senza problemi le difese basate su firme statiche. Ciò è possibile in quanto l’algoritmo basato su LLM genera continuamente nuove firme, che aggirano anche le protezioni più avanzate offerte dagli EDR (Endpoint Detection and Response). Di conseguenza, questo modello di business criminale riceve un significativo potenziamento. Infatti, i venditori presenti nei black market del dark web offrono strumenti ancora più potenti e personalizzabili, destinati anche agli utenti meno esperti, aumentando così i loro guadagni derivanti dalle percentuali sui riscatti.

Semplificazione dello sviluppo di malware ed exploit sofisticati

Gli strumenti di sviluppo AI-driven stanno lentamente abbassando la curva di apprendimento per lo sviluppo software. Di conseguenza, anche utenti con limitate capacità di programmazione possono sviluppare in piena autonomia. Nell’ambito cybercriminale, questo comporta una riduzione dei tempi necessari per sviluppare malware sofisticati. Infatti, gli LLM sono in grado di identificare rapidamente vulnerabilità zero-day nella stragrande maggioranza del software più diffuso.

Quando una vulnerabilità specifica viene selezionata come entry point, è possibile sviluppare un malware personalizzato per essa in tempi molto brevi. Tutto grazie all’autoapprendimento della macchina, alimentato dagli algoritmi di machine learning. Il software malevolo risultante è in grado di adattarsi dinamicamente alle circostanze che si presenteranno durante l’esecuzione dell’attacco vero e proprio.

Come difendersi dai vettori di attacco AI-driven?

Alla luce di quanto discusso nei paragrafi precedenti, è evidente che organizzazioni, aziende e utenti individuali devono adottare contromisure avanzate. Purtroppo, alla data di pubblicazione di questo articolo, non esiste una soluzione universale per contrastare gli attacchi AI-driven. Tuttavia, rimangono alcune strategie e suggerimenti utili per rafforzare la propria protezione.

Implementazione di tecnologie AI-based.
L’intelligenza artificiale può anche essere impiegata come strumento difensivo. Infatti, alcune soluzioni di monitoraggio e rilevamento di possibili anomalie, implementano al loro interno dei moduli IA. In tal modo il machine learning permette l’identificazione di attività sospette che sfuggono ai controlli tradizionali. Questo perché lo strumento si adatta dinamicamente alle tattiche degli attaccanti, apprendendo pattern comportamentali e anticipando possibili contromisure.
Potenziare la Cyber Hygene.
Le misure di sicurezza di base non devono essere trascurate in alcun modo. I propri sistemi software e hardware vanno aggiornati con regolarità e puntualità. Inoltre, ciascun account utente deve implementare l’autenticazione multifattoriale (MFA), mentre le configurazioni di rete devono essere costantemente monitorate.
Istruire utenti, dipendenti e clienti alle migliori pratiche di sicurezza.
Clienti, dipendenti e utenti sono sempre i soggetti maggiormente esposti ad attacchi. Ecco perché si rende necessario istruirli alle pratiche di sicurezza base. Si deve investire su di loro, puntando alla loro formazione e condurre simulazioni regolari di phishing e incidenti informatici.
Collaborazione e condivisione di informazioni.
Le aziende devono partecipare a reti di threat intelligence, al fine di condividere le informazioni sulle ultime minacce emerse nel panorama. Una collaborazione più ampia tra settori e regioni può aiutare a individuare schemi di attacco ricorrenti e a migliorare la risposta collettiva.
Prevenzione proattiva.
Adottando tecniche di threat hunting e l’analisi predittiva, si possono avere a disposizione strumenti in grado di anticipare gli attacchi AI-driven prima che questi avvengano.

In conclusione

L’integrazione dell’intelligenza artificiale nei toolkit dei cybercriminali rappresenta una svolta significativa nel panorama della sicurezza informatica. L’uso di strumenti AI-driven, evidenzia la rapidità con cui la tecnologia può essere sfruttata per fini malevoli. Questo scenario mette in luce anche una responsabilità condivisa. Da un lato, i fornitori di tecnologie IA devono assicurarsi che i loro strumenti non siano facilmente accessibili per scopi illeciti. Dall’altro, le organizzazioni e i governi devono investire in infrastrutture e formazione per anticipare tali minacce. Solo attraverso una combinazione di tecnologie avanzate, formazione continua e cooperazione internazionale sarà possibile limitare l’impatto delle minacce AI-driven.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.