Premiers signes d’attaques par ransomware basées sur l’IA

Le jour où l’intelligence artificielle (IA) sera utilisée pour lancer de manière autonome des attaques par ransomware se rapproche. Les chercheurs en sécurité d’ESET annoncent avoir découvert un outil de ransomware basé sur l’IA sur VirusTotal, un service d’analyse des fichiers et des URL visant à détecter les malwares, qui peut décider lui-même d’exfiltrer, de chiffrer ou même de détruire des données.

Surnommé PromptLock, l’outil utilise un modèle de langage d’OpenAI librement accessible pour générer à la volée des scripts Lua malveillants afin d’exécuter diverses tâches. Depuis sa découverte, un groupe de professeurs, de chercheurs et de doctorants de la Tandon School of Engineering de l’université de New York a confirmé être à l’origine de la mise en ligne du prototype (baptisé Ransomware 3.0) sur VirusTotal à des fins de test.

« L’équipe de l’Université de New York a publié un article de recherche décrivant comment le prototype de malware qu’elle a développé à titre de preuve de concept utilise des modèles de langage étendus (LLM) pour planifier, adapter et exécuter une attaque par ransomware de manière autonome. » Bien que l’on n’ait pas encore découvert que PromptLock était utilisé dans la nature par des cybercriminels, cela laisse peut-être présager une nouvelle vague d’attaques lancées par des machines plutôt que par des adversaires humains.

Le document de recherche de l’Université de New York fait suite à un article de recherche de l’Université Carnegie-Mellon (CMU) qui démontrait précédemment comment les LLM peuvent également être entraînés à planifier et à exécuter de manière autonome des cyberattaques réelles contre des environnements réseau de niveau professionnel.

Se défendre contre les attaques utilisant l’IA

Les résultats de cette étude ont des répercussions profondes pour les professionnels de la cybersécurité. La question n’est plus de savoir si les cybercriminels utiliseront des technologies d’IA agentique et des LLM pour créer un service de ransomware capable d’identifier des vulnérabilités, de les exploiter, de générer le code nécessaire et d’orchestrer l’attaque en quelques minutes, mais plutôt de savoir quand ils le feront. Les équipes de cybersécurité qui ont déjà du mal à repousser les cyberattaques seront bientôt submergées par des vagues de cyberattaques dont le coût de lancement sera très faible pour les adversaires.

Bien entendu, le seul moyen de combattre le feu de l’IA est d’utiliser l’IA. Les organisations, qu’elles soient prêtes ou non, devront investir dans des plateformes d’IA capables de réagir à la vitesse d’une machine aux attaques lancées par d’autres machines. Sans cette capacité, une attaque réussie sera bientôt capable de faire des ravages incalculables en quelques secondes. Les professionnels de la cybersécurité ne seront tout simplement pas en mesure de réagir suffisamment vite pour limiter l’étendue du rayon d’action d’une violation sans s’appuyer sur l’IA pour détecter et contrecarrer les attaques en temps réel.

Le défi, comme toujours, est de trouver les financements nécessaires pour acquérir les outils et les plateformes d’IA qui seront indispensables. Il ne fait aucun doute que les budgets consacrés à la cybersécurité continueront d’augmenter, mais étant donné que le paysage des menaces est sur le point de changer radicalement, il se peut qu’ils n’augmentent pas assez vite pour suivre la cadence. Cette question ne sera sans doute pas facile à aborder avec les responsables de l’informatique et les dirigeants de l’entreprise, mais les faits sont là. Après tout, comme le savent bien les professionnels de la cybersécurité, rien n’est pire que d’investir plus d’argent dans la cybersécurité… sauf un cyberattaque qui paralyse l’entreprise au point de ne plus générer aucun revenu.