يشكّل دمج نماذج اللغات الكبيرة (LLMs) في عمليات برامج الفدية تحولاً محورياً في المشهد السيبراني، حيث يعمل كمسرّع تشغيلي قوي بدلاً من ثورة جوهرية. تساهم هذه التقنية بشكل كبير في خفض حواجز الدخول، مما يمكّن حتى الجهات الفاعلة ذات المهارات المنخفضة من تجميع أدوات وظيفية وبنية تحتية متطورة لبرامج الفدية كخدمة (RaaS).
نتيجة لذلك، يشهد النظام البيئي تفتتاً؛ حيث تتلاشى حقبة الكارتلات المتجانسة، لتحل محلها طفرة في مجموعات أصغر، سريعة الحركة، وفرق مؤقتة. هذه التحولات تزيد من تعقيد تحديد المصدر وتجبر المدافعين على التعامل مع بيئة تهديد أكثر ضجيجاً وتجزئة. تتسع نواقل الهجوم مع قيام المهاجمين بإعادة توظيف سير عمل المؤسسات لاستخدامات خبيثة.
نماذج اللغات الكبيرة تسرّع عمليات برامج الفدية
يستخدم المهاجمون الآن نماذج اللغات الكبيرة لأتمتة إنشاء رسائل بريد إلكتروني تصيدية مقنعة وملاحظات فدية مخصصة تحاكي لغات الضحايا تماماً. علاوة على ذلك، أحدثت هذه النماذج ثورة في فرز البيانات، مما يسمح للمهاجمين بتحديد أهداف مربحة على الفور ضمن مجموعات البيانات المسربة، بغض النظر عن اللغة الأصلية.
تمكّن هذه القدرة من سد الثغرات اللغوية، مما يسمح للمشغلين بتوسيع جهود الابتزاز الخاصة بهم عالمياً وتعظيم تأثير اختراقاتهم دون زيادة بصمتهم التشغيلية. حدد محللو SentinelLabs أن عنصراً حاسماً في هذا التسريع هو التحول نحو النماذج المحلية مفتوحة المصدر لتجاوز الضوابط الأمنية.
تحول استراتيجي
من خلال تقسيم الطلبات الخبيثة إلى أوامر غير ضارة أو باستخدام نماذج غير خاضعة للرقابة مثل Ollama، يقلل المجرمون بفعالية من بيانات القياس عن بعد المقدمة ويتجنبون آليات الكشف. يتيح هذا التحول الاستراتيجي للمهاجمين الحفاظ على عمليات عالية الوتيرة مع تقليل احتمالية قيام موفري الذكاء الاصطناعي المركزيين بتمييز بنيتهم التحتية.
يعد QUIETVAULT، وهو برنامج ضار متطور يستغل نماذج اللغات الكبيرة المستضافة محليًا على أنظمة macOS وLinux، مظهراً واضحاً لهذا الاتجاه. بدلاً من الاعتماد فقط على مطابقة الأنماط الثابتة، يستفيد QUIETVAULT من أدوات الذكاء الاصطناعي المثبتة لدى الضحية لإجراء استطلاع ذكي.
يحقن البرنامج الضار أوامر محددة في النموذج المحلي، مما يوجهه للبحث recursively عن الأصول عالية القيمة في أدلة المستخدم. تتيح هذه الطريقة للبرنامج الضار تفسير سياق الملف ومدى ملاءمته بدرجة من المنطق لم تكن متاحة سابقاً للنصوص الآلية.
يستهدف البرنامج الضار مواقع حساسة بشكل صريح وأصول العملات المشفرة، بما في ذلك محافظ مثل MetaMask وElectrum وLedger وTrezor.
عند تحديد هذه الملفات، ينفذ QUIETVAULT روتين استخلاص بيانات قياسي. يقوم بتشفير البيانات المسروقة باستخدام Base64 لإخفائها عن أدوات مراقبة الشبكة ويستخرج الحمولة عبر مستودعات GitHub التي تم إنشاؤها حديثاً باستخدام بيانات اعتماد محلية.
يستفيد QUIETVAULT من نماذج اللغات الكبيرة المستضافة محليًا لتعزيز اكتشاف بيانات الاعتماد والمحافظ. توضح هذه التقنية كيف يتكيف المهاجمون مع انتشار الذكاء الاصطناعي، وتحويل أدوات الإنتاجية القوية إلى محركات لسرقة البيانات بدقة.