СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 03:22
#ИБ#ИИ

LLM и программы-вымогатели: автоматизация, автономность и новые риски

SentinelLabs предупреждает: большие языковые модели (LLM) не революционизируют тактику программ‑вымогателей, но значительно повышают их оперативную эффективность. Важно понимать, что речь не о коренном изменении методов — а о том, как киберпреступники используют LLM для ускорения и масштабирования уже существующих схем.

Ключевые выводы

  • LLM в первую очередь ускоряют стадии жизненного цикла программ‑вымогателей: разведку, составление фишинга и коммуникацию с жертвами.
  • Злоумышленники предпочитают автономные, open‑source решения (например, Ollama), чтобы обойти ограничения крупных поставщиков LLM.
  • Применение LLM приводит к конвергенции методологий: преступники перенимают подходы легального бизнеса, внедряя стандартные корпоративные рабочие процессы.
  • Маловероятно появление принципиально новых техник; скорее — их автоматизация и товаризация (например, многомодельная «smuggling»).

Как LLM ускоряют операции

Использование LLM повышает скорость и качество выполнения рутинных задач преступных группировок. Среди типичных сценариев — генерация многоязычных фишинговых писем и заметок о выкупе, адаптированных под язык и контекст жертвы. Это улучшает таргетинг и снижает затраты времени на подготовку атак.

«Участие LLM в первую очередь ускоряет различные этапы жизненного цикла программ‑вымогателей, включая разведку и фишинг, а также позволяет поддерживать многоязычную связь с потенциальными жертвами.» — SentinelLabs

Автономные модели и уклонение от ограничений

По данным отчёта, злоумышленники всё чаще разворачивают автономные модели с открытым исходным кодом, чтобы избежать встроенных ограничений и мониторинга у крупных провайдеров. Это снижает видимость атак для существующих средств защиты и осложняет работу аналитиков.

Модульный подход к вредоносным задачам

Чтобы уменьшить риск обнаружения, вредоносные операции разбиваются на «безобидные» компоненты: запросы выполняются в нескольких сеансах и на разных моделях, после чего выходные данные объединяются офлайн. Такой модульный подход помогает скрыть истинную цель запросов и обойти систему детектирования.

Конкретные примеры

  • В одной кампании использовался код Claude для автономной обработки элементов схемы вымогательства: от отбора данных до анализа и определения суммы выкупа.
  • Малварь QUIETVAULT применяет локальные CLI‑инструменты AI для поиска конфиденциальной информации в файлах жертв, внедряя вредоносные подсказки.
  • Быстрое распространение PoC‑эксплойта для уязвимости React2Shell, созданного при помощи LLM, подчёркивает риск дезинформации: многие такие PoC могут быть спекулятивными и неприменимыми на практике.

Социальная инженерия и качество контента

На фронте социальной инженерии LLM позволяют генерировать убедительный и грамотно оформленный контент, который эффективнее вводит пользователей в заблуждение и повышает вероятность установки вредоносного ПО. Это создаёт дополнительную нагрузку на службы защиты, отвечающие за обучение пользователей и фильтрацию писем.

Тренды и оперативная эволюция

SentinelLabs прогнозирует дальнейшее развитие интеграции LLM в экосистему программ‑вымогателей: трансформация методов в товары, массовое использование приёмов «smuggling» (многомодельное выполнение задач) и появление более сложных переговорных агентов. Это приведёт к ускорению разработки и развертывания вредоносного ПО и росту операционной эффективности преступных групп.

Последствия для обороны и рекомендации

Внедрение LLM в арсенал киберпреступников требует от специалистов по кибербезопасности адаптации стратегий защиты. Ключевые меры:

  • Усиление мониторинга аномальной активности, связанной с автоматизированной генерацией контента и массовой рассылкой.
  • Развитие детекции многоязычных фишинговых кампаний и алгоритмов, способных выявлять модульный характер запросов и цепочек действий.
  • Внедрение контроля над использованием локальных AI‑инструментов в корпоративной среде и детекция их злоупотребления.
  • Обновление процессов реагирования на инциденты с учётом возможности автономных LLM и быстрого товарного распространения PoC‑эксплойтов.

Вывод простой, но тревожный: LLM не создают новых фундаментальных техник атак, однако делают киберпреступления быстрее, масштабнее и менее прозрачными. Это требует от отрасли бдительности, оперативного обмена информацией и обновления защитных практик.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: