Bedrohungsakteure können KI-/ML-fähige Malware verwenden, um selbständige Angriffe zu starten, die Informationen über die Infrastruktur, das Netzwerk und die Benutzer sammeln und diese wichtigen Informationen sicher an einen Command & Control-Server übermitteln.
Auf diese Weise können sie nach einem ersten Angriff, eine zweite Phase einleiten oder Wege finden, um automatisch und blitzschnell ihr Ziel zu erreichen. Auf diese Weise können komplexere Angriffe schneller ausgeführt warden. Es werden nicht nur Daten für die Ransomware-Erpressung verschlüsselt, sondern möglicherweise auch in gesicherte Infrastrukturen hinter mehreren Schutzschichten eingedrungen wird. Des Weiteren können Wege in die operative Technologieumgebung gefunden oder sogar der Air Gap in hochgesicherten Infrastrukturen übersprungen werden. Bislang war diese Technologie eher für staatliche Akteure geeignet, die über die Mittel und Fähigkeiten zur Durchführung dieser Art von fortschrittlichen Angriffen verfügen. Mit der zunehmenden Verbreitung von Technologien und Taktiken können und werden sie jedoch auch von anderen Bedrohungsakteuren eingesetzt werden.
Für gut organisierte Ransomware-Gruppen ist es mit ihren vorhandenen Ressourcen relativ einfach, ein legitim aussehendes Startup-Unternehmen zu gründen, das Erkennungs- oder Remediation-Technologien entwickelt. In diesem Umfeld können sie Talente rekrutieren, um das nächste große Ding in der Cybersicherheit zu werden, während sie in Wirklichkeit Technologien für Ransomware-Gruppen entwickeln. Wenn eine Gruppe die Zeit und die Mühe nicht investiert, um eine legitime Fassade für ihre illegalen Operationen aufzubauen, kann sie immer noch Cybersicherheits-Talente und KI/ML finden. Es gibt eine Menge Leute, die bereit wären, ihr Fachwissen zur Verfügung zu stellen, wenn sie im Gegenzug einen Teil des Gewinns aus einem millionenschweren Ransomware-Angriff erhalten.
Es gab bereits mehrere KI/ML-basierte Angriffe und es ist nur eine Frage der Zeit, bis weitere Gruppen das Wissen, die Erfahrung und die Infrastruktur zur Verfügung haben, um diese Angriffe in größerer Zahl durchzuführen. Als Reaktion darauf müssen sich Unternehmen mit Erkennungssystemen schützen, die nicht nur auf herkömmlichen Methoden wie der Erkennung von IOCs und dem Patchen bekannter Schwachstellen basieren. Sie müssen KI/ML-basierte Erkennungssysteme mit Automatisierungs- und Orchestrierungssystemen einsetzen, um selbst kleinste Anomalien in Verhalten, Datenströmen, Infrastruktur und Kommunikation in Echtzeit zu erkennen. Sie müssen all diese Sicherheitsdaten sammeln, um schnell ein vollständiges Bild des Angriffs zu erstellen und automatisch zu reagieren. KI/ML-basierte Angriffe erfolgen so schnell, dass keine Zeit bleibt, einen menschlichen Sicherheitsanalysten in das SOC einzubinden, der lediglich eine automatische Antwort liefert. Die einzige Möglichkeit, mit KI/ML-basierten Angriffen umzugehen, besteht darin, mit ebenso fortschrittlichen KI/ML-basierten Verteidigungssystemen zu reagieren.