Bedrohung durch Generative KI und Ransomware – Threat from Generative AI and Ransomware

Der Einsatz von KI in Unternehmen nimmt stetig zu. Im Jahr 2022 nutzen bereits mehr als ein Drittel (35 Prozent) aller Befragten eingebettete KI-Tools zur Effizienzsteigerung. Aber nicht nur Unternehmen profitieren von generativer KI. Auch Cyberkriminelle nutzen die Leistungsfähigkeit von KI, um Angriffe effizienter durchzuführen. Bereits heute gibt es zahlreiche neue KI-gestützte Angriffsvarianten wie Virtual Kidnapping, Pig Butchering und Harpoon Whaling, die durch die neue Technologie effizienter gestaltet und automatisiert werden können. Angesichts eines stetig wachsenden KI-Marktes – für 2027 wird ein Gesamtwert von 407 Milliarden US-Dollar prognostiziert – ist mit einem weiteren explosionsartigen Anstieg des KI-Einsatzes im Bereich der Cyberkriminalität zu rechnen. Cyberkriminelle werden immer mehr Möglichkeiten finden, KI zur Generierung von Schadcode und zur Streamlining ihrer Operationen einzusetzen. Böswillige Akteure rüsten sich jedoch nicht nur mit KI aus.

Ransomware-Infektionen explodieren weiter auf Linux-Systemen

Im ersten Halbjahr 2023 wurden 90.000 Ransomware-Angriffe auf Endgeräten erkannt. Im Vergleich zum selben Zeitraum im Vorjahr stieg die Anzahl der von Ransomware betroffenen Linux-Systeme um 62 Prozent. Ganze 14 neue Ransomware-Familien sind seit 2023 im Umlauf. Dieser Anstieg lässt sich mit zunehmendem Einsatz von neuen Technologien wie generativer KI und anderen Tools erklären. So nutzte die neue Gruppe Mimic im Frühjahr eine Lücke im legitimen Suchtool Everything, um zu bestimmen, welche Dateien verschlüsselt werden sollten. Zudem steigt auch das Ausmaß der Kollaboration zwischen den verschiedenen Ransomware-Gruppen wie Conti, TargetCompany und BlueSky, was zu geringeren Kosten und höherer Operationseffizienz führt.

Was geschah sonst noch im 1. Halbjahr 2023?

Cyberkriminelle rüsten also nicht nur mit KI auf. Böswillige Akteure aktualisieren ständig ihre Tools, Techniken und Verfahren (TTP), um sich der Entdeckung zu entziehen und ein breiteres Netz für ihre Opfer auszuwerfen. Die Gruppe APT34 beispielsweise nutzte im ersten Halbjahr 2023 DNS-basierte Kommunikation in Kombination mit legitimem SMTP-Mailverkehr, um Sicherheitsrichtlinien zu umgehen. Weiterhin hat die Gruppe Earth Preta ihren Schwerpunkt auf kritische Infrastrukturen verlagert und setzt dabei hybride Techniken zur Verbreitung von Malware ein. Hartnäckige Bedrohungen wie die APT41-Untergruppe Earth Longzhi sind ebenfalls mit neuen Techniken wieder aufgetaucht und haben es auf Unternehmen in mehreren Ländern abgesehen. All diese Kampagnen erfordern ein koordiniertes Vorgehen und kontinuierliche Wachsamkeit der Unternehmen. Nur so gewinnen sie das Wettrüsten gegen die immer raffinierter werdenden Tools und Methoden der Cyberkriminellen.

So wehren sich Unternehmen

Sicherheitsexperten wie Trend Micro setzen ebenfalls zunehmend auf KI-Tools, um ihre Kunden bei der Abwehr von Cyberangriffen zu unterstützen. Vor kurzem hat Trend Micro damit begonnen, generative KI zu nutzen, um die Sicherheitsabläufe zu verbessern. Die Künstliche Intelligenz Companion ist beispielsweise ein Cybersecurity-Assistent, der dazu dient, wiederholende Aufgaben zu automatisieren, damit Analysten sich auf wichtigere Aufgaben konzentrieren können. Mithilfe moderner Technologie blockierte Trend Micro allein im ersten Halbjahr 2023 über 85 Milliarden Bedrohungen (etwa ein Drittel mehr als im Vorjahreszeitraum), darunter 37 Milliarden bösartige E-Mails und an die 46 Milliarden infizierte Dateien. Zudem konnte der Zugriff auf 1 Milliarde unseriöse URLs unterbunden werden.

„Wir bei Trend Micro nutzen schon seit 2005 KI und maschinelles Lernen, um Angriffe zu erkennen und Spam zu filtern. Dass nun auch Cyberkriminelle immer häufiger und raffinierter KI-gestützte Tools in ihre Angriffs-Methodiken einbetten, erfüllt uns mit Sorge. Ein Wettrüsten der KI-Werkzeuge scheint leider unumgänglich, wir sind den Rüstungswettlauf mit der Cyberkriminalität jedoch gewohnt. Die verstärkte KI-Nutzung auf deren Seite wird einige Gegenmaßnahmen wie zum Beispiel Mitarbeitertrainings erschweren. Andere Maßnahmen wie Anomalie-Erkennung werden dadurch deutlich wichtiger“, meint Richard Werner, Business Consultant bei Trend Micro.

The use of AI in companies is steadily increasing. By 2022, more than a third (35 percent) of all respondents are already using embedded AI tools to increase efficiency. But it’s not just businesses that benefit from generative AI. Cybercriminals are also harnessing the power of AI to carry out attacks more efficiently. Already, there are numerous new AI-powered attack variants such as virtual kidnapping, pig butchering, and harpoon whaling that can be made more efficient and automated through new technology. With an ever-growing AI market – projected to be worth a total of $407 billion by 2027 – AI use in cybercrime is expected to continue to explode. Cybercriminals will find more and more ways to use AI to generate malicious code and streamline their operations. Malicious actors aren’t just arming themselves with AI, however.

Ransomware infections explode on Linux systems

In the first half of 2023, 90,000 ransomware attacks were detected on endpoints. Compared to the same period last year, the number of Linux systems affected by ransomware increased by 62 percent. A full 14 new ransomware families have circulated since 2023. This rise can be explained by increasing use of new technologies such as generative AI and other tools. For example, in the spring, the new group Mimic used a hole in the legitimate search tool Everything to determine which files should be encrypted. In addition, the level of collaboration between the various ransomware groups, such as Conti, TargetCompany and BlueSky, is also increasing, leading to lower costs and higher operational efficiency.

What else happened in H1 2023?

So cybercriminals aren’t just upgrading with AI. Malicious actors are constantly updating their tools, techniques and procedures (TTPs) to evade detection and cast a wider net for their victims. For example, in the first half of 2023, the group APT34 used DNS-based communications in combination with legitimate SMTP mail traffic to evade security policies. Further, the Earth Preta group has shifted its focus to critical infrastructure, using hybrid techniques to spread malware. Persistent threats such as the APT41 subgroup Earth Longzhi have also resurfaced with new techniques, targeting enterprises in multiple countries. All these campaigns require a coordinated approach and continuous vigilance from enterprises. This is the only way they can win the arms race against the cybercriminals‘ increasingly sophisticated tools and methods.

How companies defend themselves

Security experts like Trend Micro are also increasingly turning to AI tools to help their customers defend against cyberattacks. Recently, Trend Micro began using generative AI to improve security operations. For example, Artificial Intelligence Companion is a cybersecurity wizard designed to automate repetitive tasks so analysts can focus on more important tasks. Using advanced technology, Trend Micro blocked more than 85 billion threats in the first half of 2023 alone (about a third more than the same period last year), including 37 billion malicious emails and close to 46 billion infected files. It also blocked access to 1 billion rogue URLs.

„At Trend Micro, we have been using AI and machine learning to detect attacks and filter spam since 2005. The fact that cybercriminals are now also embedding AI-powered tools into their attack methodologies with increasing frequency and sophistication fills us with concern. An arms race of AI tools unfortunately seems inevitable, but we are used to the arms race with cybercrime. Increased AI use on their side will make some countermeasures, such as employee training, more difficult. It will make other measures, such as anomaly detection, much more important,“ says Richard Werner, business consultant at Trend Micro.