כופר גנרטיבי: עידן חדש

עברייני סייבר משתמשים יותר ויותר בכלים של בינה מלאכותית גנרטיבית כדי להאיץ את מתקפותיהם, ומחקר חדש מלמד על מקרים שבהם נעשה שימוש ישיר במודלים כאלו לפיתוח תוכנות כופר. בעולם שבו הפשיעה הקיברנטית נמצאת בעלייה מתמדת, מתברר כי גם הכלי החם ביותר של השנים האחרונות - הבינה המלאכותית - משתלב כעת במערך ההתקפות.

מחקרים שפורסמו לאחרונה מדגימים שתוכנות כופר אינן נותרות מאחור: הן מתעצמות ומתפתחות בעזרת מודלים גנרטיביים. במקרים מסוימים נעשה שימוש בבינה מלאכותית רק כדי לנסח מכתבי כופר מאיימים ומרתיעים יותר וכך לשפר את טקטיקות הסחיטה. אולם מגמה ברורה היא שעבריינים מתחילים להישען על בינה מלאכותית גם כבסיס לפיתוח התוכנות עצמן.

חוקרים מחברת Anthropic העוסקת בפיתוח בינה מלאכותית, חשפו כי גורמי איום מסוימים נעזרים במודלים גנרטיביים, לעיתים באופן מלא, כדי לבנות תוכנות זדוניות ולשווק שירותי כופר לעבריינים אחרים.

בדו"ח מודיעין איומים חדש שפרסמה Anthropic נכתב, כי עברייני כופר השתמשו במודל השפה הגדול שלה, Claude, וגם בגרסה יעודית לתכנות בשם Claude Code, כחלק מתהליך הפיתוח של תוכנות כופר. ממצא זה מצטרף לדו"ח נוסף, של חברת האבטחה ESET, ובו תוארה הוכחת היתכנות למתקפת כופר שנבנתה כולה בעזרת מודלי שפה מקומיים שפעלו על שרת זדוני.

המשמעות המצטברת של שני הממצאים ברורה: בינה מלאכותית הופכת את הפשיעה הקיברנטית לנגישה יותר, ומאפשרת גם לאנשים חסרי רקע טכני ממשי לבצע מתקפות מורכבות שבעבר הצריכו מומחיות רבה. "החקירה שלנו חשפה לא רק וריאנט נוסף של כופר", כתבו חוקרי Anthropic, "אלא שינוי עומק שאפשרה הבינה המלאכותית, שמסיר את המחסומים הטכניים המסורתיים ומקל את הפיתוח של תוכנות זדוניות חדשות."

הבעיה מחריפה עם בינה מלאכותית

בעשור האחרון תוכנות כופר הוכיחו עצמן כאתגר עצום. התוקפים נעשו אכזריים יותר ויצירתיים יותר, והקורבנות המשיכו לשלם סכומי עתק. לפי הערכות, מספר מתקפות הכופר שבר שיאים בתחילת שנת 2025. ההכנסות של ארגוני פשיעה עולמיים מהתחום נאמדות במאות מיליוני דולרים בשנה.

פול נקאסונה, לשעבר ראש ה־NSA והפיקוד הקיברנטי של ארצות הברית, אמר בכנס Defcon שהתקיים בלאס וגאס באוגוסט האחרון: "אנחנו לא מתקדמים במאבק נגד כופר." במילים אחרות, גם המאמצים הרבים של ממשלות, גופי אכיפה וחברות אבטחה לא הצליחו לעצור את הסחף.

השימוש במודלים גנרטיביים מגדיל את פוטנציאל הנזק. על פי דו"ח Anthropic, שחקן איום מבריטניה, שמכונה GTG-5004 ופעיל מתחילת השנה, השתמש ב־Claude כדי "לפתח, לשווק ולהפיץ תוכנות כופר בעלות יכולות התחמקות מתקדמות." בפורומים של עברייני סייבר הציע GTG-5004 שירותי כופר במחירים שבין 400 ל־1,200 דולר. לפי Anthropic, החבילות כללו מגוון כלים ברמות שירות מגוונות. בין היתר הוצעו יכולות הצפנה, כלי אמינות של תוכנה ושיטות שנועדו לעזור לעבריינים להימנע מחשיפה.

החוקרים מציינים שבאופן מעניין, המפתח עצמו אינו מומחה טכני: "נראה שהמפעיל אינו מסוגל לממש אלגוריתמים של הצפנה, טכניקות נגד ניתוח או מניפולציות מתקדמות במערכת Windows ללא סיוע מ־Claude." במילים אחרות, הבינה המלאכותית ממלאת כאן לא רק תפקיד של "עוזרת אישית" לכתיבה או לניסוח אלא ממש משמשת תחליף לידע טכני שחסר לעבריין.

Anthropic חסמה את החשבון שקשור לפעילות זו והציגה שיטות חדשות לזיהוי ומניעה של יצירת תוכנות זדוניות בפלטפורמות שלה. בין היתר היא משתמשת בכללי זיהוי מוכרים בשם YARA, שנועדו לאתר דפוסי קוד זדוניים וחתימות תוכנה חשודות.

נכון לעכשיו, פעילות כזו אינה נפוצה בכל זירת הכופר, אך הממצאים מסמנים מגמה מדאיגה. "יש קבוצות שמשתמשות בבינה מלאכותית כדי לסייע בפיתוח תוכנות כופר ומודולים זדוניים", אומר אלן ליסקה, אנליסט בחברת Recorded Future המתמחה בכופר, "אך לפי הידוע לנו, רוב הקבוצות עדיין לא שם. מה שכן, אנו רואים שימוש רחב יותר בבינה מלאכותית דווקא בשלב החדירה הראשונית." כלומר המגמה מתפתחת, אך עדיין לא נהפכה לנורמה.

בינה מלאכותית מניעה תוכנות כופר

חוקרי חברת ESET טענו, כי גילו את "תוכנת הכופר הראשונה שמונעת בבינה מלאכותית", שקיבלה את השם PromptLock. התוכנה הזדונית פועלת בעיקר באופן מקומי על מחשב הקורבן, ומשתמשת במודל קוד פתוח של OpenAI. לפי החוקרים, התוכנה יכולה "ליצור סקריפטים זדוניים בשפת Lua בזמן אמת." היא משתמשת בסקריפטים האלו כדי לסרוק קבצים שנמצאים במערכת, לבחור מטרות להצפנה, לגנוב נתונים ולפרוס תהליכי הצפנה.

ב־ESET מעריכים, כי מדובר בקוד שמיועד בעיקר לשמש כהוכחת היתכנות ולא הופעל עד כה נגד קורבנות אמיתיים. עם זאת עצם קיומו ממחיש כיצד עבריינים מתחילים להטמיע מודלי שפה גדולים בערכות הכלים שלהם.

שני חוקרים, אנטון צ'רפאנוב ופטר סטריצ'ק, כתבו במייל ל־WIRED: "פריסת כופר בסיוע בינה מלאכותית מציבה אתגרים, בעיקר בשל גודל המודלים ודרישות המחשוב הגבוהות שלהם. עם זאת ייתכן שעבריינים ימצאו דרכים לעקוף מגבלות אלו. כמעט ודאי ששחקני איום חוקרים תחום זה באופן פעיל, וסביר שנראה ניסיונות נוספים לייצר איומים מתוחכמים יותר ויותר."

מעבר לפרשת GTG-5004, חוקרי Anthropic חשפו פעילות של קבוצה פלילית נוספת, שמסומנת כ־GTG-2002. קבוצה זו השתמשה ב־Claude Code כדי לבצע אוטומציה מלאה: מהזיהוי של מטרות התקיפה, דרך חדירה לרשתות ועד פיתוח תוכנות זדוניות, שאיבת נתונים, ניתוח המידע שנגנב ולבסוף ניסוח מכתב כופר. בחודש אחד בלבד פגעה המתקפה ב־17 ארגונים לפחות בתחומים ממשלה, בריאות, שירותי חירום ומוסדות דת. שמות הארגונים לא פורסמו, אך היקף הפגיעה מלמד על התרחבות מסוכנת.

"הפעילות ממחישה התפתחות מדאיגה בפשיעה קיברנטית בסיוע בינה מלאכותית", כתבו החוקרים. "במצב זה, בינה מלאכותית משמשת הן כיועצת טכנית והן כמבצעת פעילה, ומאפשרת מתקפות שהיו קשות וגוזלות זמן רב בהרבה אילו בוצעו ידנית על ידי אדם יחיד."

אזהרה לעתיד הקרוב

כתבה ב־WIRED והדו"חות שהציגו Anthropic ו־ESET מציירים תמונה מטרידה: תוכנות כופר, שכבר נחשבות לאיום הקיברנטי המתמשך ובעל המשמעות הרבה ביותר, מקבלות זריקת עידוד מסוכנת מהבינה המלאכותית. בעבר, כדי לפתח כופר נדרש ידע טכני מעמיק בשפות תכנות, הצפנה ומבני מערכות הפעלה. כיום, המודלים הגנרטיביים מצמצמים את הפער הזה ומאפשרים לכל עבריין עם גישה לכלי AI מתקדם להקים עסק כופר קטן משלו. שירותי כופר כשירות (RaaS) היו קיימים כבר קודם, אבל עם הבינה המלאכותית נפרצים מחסומים נוספים: ניסוח, שיווק, בניית קוד ואף ניתוח נתונים שנגנבו.

בעולם שבו מספר המתקפות כבר שובר שיאים והיקפי הנזק עצומים, הצירוף של כופר ובינה מלאכותית הוא בדיוק השילוב שממנו הזהירו מומחי סייבר בשנים האחרונות. הדו"חות האחרונים אינם אלא סימן מקדים שעידן חדש באמת התחיל, שבו הבינה המלאכותית אינה רק כלי לחדשנות עסקית או יצירה אמנותית אלא גם מכפיל כוח בידיהם של עברייני סייבר.

לפרטים נוספים