Hackers inexpertos aprovechan LLM maliciosos que ofrecen capacidades técnicas sofisticadas
Algunos modelos de lenguaje extensos sin restricciones o LLMs como WormGPT 4 y KawaiiGPT se encuentran evolucionando de forma rápida, perfeccionando su capacidad para generar código malicioso y scripts funcionales que facilitan ataques complejos, como cifradores de ransomware y movimientos laterales dentro de redes corporativas.
Investigadores de diversas firmas e institutos han realizado pruebas con ambos LLMs, los cuales han ganado popularidad entre hackers maliciosos gracias a suscripciones pagadas o instancias locales que son gratis. Esta tendencia confirma que el uso de la inteligencia artificial en el cibercrimen ya no es una amenaza hipotética, es una realidad activa.
El modelo WormGPT apareció en el año 2023, originalmente, pero el proyecto se canceló ese mismo año. No obstante, este LLM ha marcado el regreso de la organización en el mes de septiembre, ofreciendo acceso por 50 dólares al mes o 220 dólares de por vida.
Igualmente, se presenta como una variante sin censura de ChatGPT, entrenada específicamente para operaciones ilícitas. Por otro lado, KawaiiGPT, detectado en el mes de julio, es una alternativa gratuita impulsada por la comunidad, la cual es capaz de generar mensajes de phishing muy convincentes y automatizar movimientos laterales por medio de scripts listos para ejecutar.
Del mismo modo, diversas firmas han evaluado la capacidad del modelo para crear código ransomware, para que pudiese cifrar todos los archivos PDF en un sistema de Windows. El resultado ha sido un script en PowerShell configurable para buscar extensiones específicas en rutas concretas y cifrar datos con el algoritmo AES-256.
Incluso, añadieron una opción para exfiltrar información vías servidor Tor, alineándose con prácticas reales de los ciberdelincuentes. Además, con otro prompt, el LLM WormGPT 4 ha generado una nota de rescate que es desafortunadamente muy efectiva, la cual afirmaba emplear cifrado de grado militar y fijaba un plazo de 72 horas antes de duplicar el pago.
El ransomware es el terror de las empresas y de los usuarios comunes, debido a las altas cantidades de dinero que tienen que pagar sin la garantía de que sus datos no sean expuestos. Por ello, TIC Defense ofrece un conjunto de soluciones y servicios que protegen a las empresas contra todo tipo de malware.
Según los expertos, este LLM ofrece una manipulación lingüística creíble para ataques BEC y phishing, permitiendo que hackers maliciosos sin experiencia puedan ejecutar acciones ofensivas complejas antes reservadas a actores expertos.
Este modelo, el cual ha estado documentado en su versión 2.5, ha podido instalarse en Linux en poco más de 5 minutos. Ante esto, los expertos lo han probado con prompts para crear mensajes spear-phishing con dominios falsos y enlaces para robar credenciales, scripts de Python para movimiento lateral, usando para esto la librería llamada paramiko y un código que recorre sistemas Windows con os.walk y exfiltra datos vía smtplib.
Ambos LLM cuentan con comunidades activas en Telegram, en donde cientos de miembros comparten consejos y técnicas. Sin embargo, los especialistas advierten que estos modelos ya son una amenaza teórica. En ambos casos, los cibercriminales novatos logran ejecutar ofensivas a escala, reduciendo tiempos de preparación y generando señuelos sin errores gramaticales típicos de estafas comunes.
El auge de los LLMs maliciosos ha marcado un cambio en el panorama de las ciberamenazas, debido a que herramientas que antes requerían habilidades avanzadas, ahora están al alcance de cualquiera, planteando un desafío para la ciberseguridad en general, que debe adaptarse a un entorno en donde la IA se convierte en un arma para los ciberdelitos.
