Ransomware : la GenAI, une accélération plus qu’une transformation

Le 8 septembre dernier, l’école de management Sloan du prestigieux MIT publiait un article selon lequel « 80 % des attaques avec ransomware utilisent désormais l’intelligence artificielle ». L’affirmation, pour tonitruante qu’elle fut, s’est avérée erronée.

Est-ce pour autant à dire que l’IA générative, grands modèles de langage (LLM) en tête, n’a rien changé à la menace des rançongiciels ? Non, estiment les chercheurs des SentinelLabs de l’éditeur SentinelOne.

Selon eux, les acteurs du ransomware ont bien pris le virage des LLM et de la GenAI. Mais avec essentiellement un effet accélérateur plus que véritablement disruptif.

Selon eux, le principal effet de l’IA générative est là qu’elle contribue à abaisser encore un peu plus les barrières à l’entrée : « les LLM permettent à des acteurs peu ou moyennement qualifiés d'assembler des outils fonctionnels et une infrastructure de ransomware-as-a-service (RaaS) en décomposant les tâches malveillantes en prompts apparemment inoffensifs qui parviennent à contourner les barrières de sécurité des fournisseurs ».

Plus précisément, « l'impact le plus immédiat provient du fait que les opérateurs de ransomware adoptent les mêmes workflows LLM que ceux utilisés quotidiennement par les entreprises légitimes, mais à des fins criminelles ».

Illustration : « de la même manière que les spécialistes du marketing utilisent les LLM pour rédiger des textes, les acteurs malveillants les utilisent pour rédiger des e-mails de phishing et du contenu localisé, tel que des demandes de rançon utilisant la même langue que l'entreprise victime ».

Selon les chercheurs, si les entreprises tirent parti des LLM pour affiner de grandes quantités de données à des fins commerciales, « les acteurs malveillants utilisent le même workflow pour identifier des cibles lucratives à partir de fuites de données ou pour extorquer une victime spécifique en fonction de la valeur des données qu'ils volent ».

Comme d’aucuns l’avaient anticipé, « cette capacité de tri des données est particulièrement amplifiée au-delà des barrières linguistiques ». Voire culturelles. L'exploitation de modèles allégés exécutés localement, sur des machines de plus en plus capables en la matière, du côté des cybercriminels, pourrait contribuer à amplifier le phénomène.