Meskipun aktivitas semacam ini sejauh ini tampaknya bukan merupakan norma di seluruh ekosistem ransomware, temuan-temuan ini memberikan peringatan yang sangat serius.
“Pasti ada beberapa kelompok yang memanfaatkan AI untuk membantu pengembangan modul ransomware dan malware, tetapi sepengetahuan Recorded Future, sebagian besar tidak,” ujar Allan Liska, seorang analis dari firma keamanan Recorded Future yang berspesialisasi dalam ransomware. “Di mana kami lebih banyak melihat pemanfaatan AI secara luas adalah dalam hal akses awal.”
Secara terpisah, para peneliti di perusahaan keamanan siber ESET pekan ini mengklaim telah menemukan “ransomware bertenaga AI pertama yang diketahui,” dijuluki PromptLock. Para peneliti menyatakan malware ini, yang sebagian besar berjalan secara lokal pada mesin dan menggunakan model AI open source dari OpenAI, dapat “menghasilkan skrip Lua yang berbahaya secara langsung” dan menggunakannya untuk memeriksa file yang mungkin menjadi target peretas, mencuri data, serta menerapkan enkripsi. ESET meyakini kode ini merupakan proof-of-concept yang tampaknya belum digunakan untuk menyerang korban, namun para peneliti menekankan bahwa hal ini mengilustrasikan bagaimana para penjahat siber mulai menggunakan LLM sebagai bagian dari perangkat tools mereka.
“Menerapkan ransomware berbantuan AI menghadirkan tantangan tertentu, terutama karena ukuran model AI yang besar dan kebutuhan komputasionalnya yang tinggi. Namun, sangat mungkin para penjahat siber akan menemukan cara untuk mengatasi keterbatasan ini,” tulis Anton Cherepanov dan Peter Strycek, peneliti malware ESET yang menemukan ransomware baru tersebut, dalam sebuah email kepada WIRED. “Dalam hal pengembangan, hampir pasti bahwa aktor ancaman aktif mengeksplorasi area ini, dan kita kemungkinan akan melihat lebih banyak upaya untuk menciptakan ancaman yang semakin canggih.”
Walaupun PromptLock belum digunakan di dunia nyata, temuan Anthropic semakin menggarisbawahi kecepatan pergerakan penjahat siber dalam membangun LLM ke dalam operasi dan infrastruktur mereka. Perusahaan AI itu juga melihat kelompok penjahat siber lain, yang mereka lacak sebagai GTG-2002, menggunakan Claude Code untuk secara otomatis menemukan target serangan, mendapatkan akses ke jaringan korban, mengembangkan malware, lalu mengeksfiltrasi data, menganalisis data yang telah dicuri, dan menyusun catatan tebusan.
Dalam bulan terakhir, serangan ini berdampak pada “setidaknya” 17 organisasi di pemerintahan, layanan kesehatan, layanan darurat, dan institusi keagamaan, kata Anthropic, tanpa menyebutkan nama organisasi yang terdampak. “Operasi ini menunjukkan evolusi yang mengkhawatirkan dalam kejahatan siber berbantuan AI,” tulis para peneliti Anthropic dalam laporan mereka, “di mana AI berfungsi baik sebagai konsultan teknis maupun operator aktif, yang memungkinkan serangan yang akan lebih sulit dan memakan waktu jika dilakukan secara manual oleh aktor individu.”