Ciberdelincuentes usan Claude AI para generar ransomware más sofisticado
El popular modelo de lenguaje por IA, llamado Claude Code, creado por Anthropic, ha sido utilizado por hackers maliciosos en campañas de extorsión de datos y para desarrollar paquetes de ransomware, abusando de sus capacidades técnicas y de creación de código.
La empresa en cuestión ha afirmado que su herramienta se ha empleado también en esquemas fraudulentos de trabajadores de TI norcoreanos, en la distribución de señuelos para campañas de entrevistas falsas, en operaciones de APT chinas y por un desarrollador de habla rusa que desarrolló malware con avanzadas capacidades de evasión.
En otro caso, el cual ha sido identificado como GTG-5004, un ciberdelincuente con base en el Reino Unido ha utilizado Claude Code para desarrollar y comercializar una operación de ransomware como servicio, más conocido como RaaS.
La utilidad de inteligencia artificial ha ayudado a desarrollar herramientas necesarias para la plataforma RaaS, implementando el cifrado de flujo llamado “ChaCha20”, con gestión de claves RSA en un ransomware modular, eliminación de copias de sombra, opciones de selección de archivos específicos y la capacidad de cifrar recursos compartidos en red.
En cuanto a técnicas de evasión, el ransomware se carga mediante inyección reflexiva de DLL e incorpora invocación de syscalls, evasión de API hooking, ofuscación de cadenas y mecanismos anti-debugging. La compañía señala que el actor malicioso dependía completamente de Claude para implementar las partes más complejas de su código.
Igualmente, ha destacado que, sin asistencia de la inteligencia artificial, probablemente no podría haber logrado un ransomware funcional. El hallazgo más sorprendente es la aparente dependencia del actor malicioso en la IA para desarrollar malware funcional y operativo, según apuntan diversos informes.
El ransomware es un flagelo que las personas y empresas padecen diariamente, por lo que la protección completa de sistemas es una necesidad. Por ello, TIC Defense tiene para tu compañía un conjunto completo de productos y soluciones con el objetivo de luchar contra todo tipo de malware con fines de explotar vulnerabilidades corporativas.
Después del desarrollo de la operación de RaaS, el hacker malicioso ofreció ejecutables del ransomware, kits con consolas PHP e infraestructura de comando y control, conocida como C2. Todo ello además de crypters para Windows, con precios que iban de 400 a 1.200 dólares en foros de la dark web, como Dread, CryptBB y Nulled.
Luego de analizar otro caso, el cual ha sido identificado como GTG-2002, un atacante utilizó Claude como operador activo para llevar a cabo una campaña de extorsión de datos contra una veintena de empresas de sectores diversos como el gubernamental, sanitario, servicios de emergencia y del sector financiero.
El agente de IA realizó tareas de reconocimiento de red, ayudando al actor malicioso a obtener acceso inicial y generando un malware personalizado, basado en la herramienta tunneling Chisel, diseñada para la exfiltración de datos sensibles.
Tras el fallo del ataque, Claude Code se empleó para mejorar la capacidad de ocultamiento del malware por medio de técnicas de cifrado de cadenas, código anti-debugging y camuflaje de nombres de archivo, entre otras técnicas de encubrimiento.
De otra forma, Claude se utilizó para analizar los archivos robados y exfiltrados, para establecer las demandas de rescate, las cuales variaban entre los 75 mil y los 500 mil dólares, e incluso, para generar notas de rescate en HTML personalizadas para cada víctima.
