ESET เตือนถึงภัยคุกคามจากมัลแวร์ที่ขับเคลื่อนด้วย AI และเศรษฐกิจแรนซัมแวร์ที่เติบโตอย่างรวดเร็ว

ESET เตือนถึงภัยคุกคามจากมัลแวร์ที่ขับเคลื่อนด้วย AI และเศรษฐกิจแรนซัมแวร์ที่เติบโตอย่างรวดเร็ว

ภูมิทัศน์ด้านความปลอดภัยทางไซเบอร์ได้มาถึงจุดเปลี่ยนที่สำคัญแล้ว เนื่องจากปัญญาประดิษฐ์ (AI) กำลังเปลี่ยนจากภัยคุกคามเชิงทฤษฎีไปสู่ความเป็นจริงในการใช้งาน

ในรายงานภัยคุกคามครึ่งหลังปี 2025 นักวิจัยของ ESET ได้บันทึกการเปลี่ยนแปลงที่น่าตกใจในวิธีการทำงานของผู้โจมตี โดยเผยให้เห็นว่ามัลแวร์ที่ขับเคลื่อนด้วย AI ไม่ใช่ปัญหาที่อยู่ไกลตัวอีกต่อไป แต่เป็นภัยคุกคามที่กำลังมุ่งเป้าไปที่ระบบทั่วโลก

การเกิดขึ้นของภัยคุกคามที่ขับเคลื่อนด้วย AI ถือเป็นการเปลี่ยนแปลงพื้นฐานในความซับซ้อนของการโจมตี ผู้โจมตีในปัจจุบันใช้โมเดลการเรียนรู้ของเครื่องเพื่อสร้างโค้ดที่เป็นอันตรายซึ่งปรับให้เข้ากับสภาพแวดล้อมของเหยื่อแต่ละราย ทำให้กลไกการป้องกันแบบดั้งเดิมไม่มีประสิทธิภาพมากขึ้นเรื่อยๆ

การเปลี่ยนแปลงนี้แสดงถึงการบรรจบกันของภัยคุกคามสองอย่างที่เคยแยกจากกัน ได้แก่ การพัฒนามัลแวร์ขั้นสูงและความสามารถของปัญญาประดิษฐ์

นักวิเคราะห์ของ ESET ระบุ PromptLock ซึ่งเป็นแรนซัมแวร์ที่ขับเคลื่อนด้วย AI ตัวแรกที่รู้จักกัน ซึ่งถูกค้นพบในครึ่งหลังของปี 2025 มัลแวร์นี้ทำงานผ่านสถาปัตยกรรมแบบสององค์ประกอบที่ไม่เหมือนใคร ซึ่งเปลี่ยนแปลงวิธีการทำงานของแรนซัมแวร์โดยพื้นฐาน

 โมดูลหลักแบบคงที่ซึ่งเขียนด้วยภาษา Go สื่อสารโดยตรงกับเซิร์ฟเวอร์ที่รันโมเดล AI และมีข้อความแจ้งเตือนที่เขียนไว้ล่วงหน้า ข้อความแจ้งเตือนเหล่านี้จะสั่งให้ AI สร้างสคริปต์ Lua แบบไดนามิก ซึ่งจะดำเนินการบนระบบที่ถูกโจมตีโดยไม่ต้องมีการเขียนล่วงหน้าโดยนักพัฒนา

ความสามารถในการปรับตัว

ความซับซ้อนทางเทคนิคของ PromptLock อยู่ที่ความสามารถในการปรับตัว ไม่เหมือนกับแรนซัมแวร์แบบดั้งเดิมที่ทำตามรูปแบบที่กำหนดไว้ล่วงหน้า PromptLock ใช้โมเดล AI เพื่อสร้างสคริปต์ที่ไม่ซ้ำกันสำหรับการสำรวจระบบไฟล์ การตรวจสอบข้อมูล การดึงข้อมูล และการเข้ารหัส

มัลแวร์จะสแกนระบบของเหยื่อโดยอัตโนมัติและตัดสินใจอย่างอิสระว่าจะดึงข้อมูล เข้ารหัสไฟล์ หรือทำลายข้อมูลตามสิ่งที่พบ

เพื่อรักษาประสิทธิภาพ PromptLock จึงรวมวงจรป้อนกลับเพื่อตรวจสอบความถูกต้องของโค้ดที่สร้างโดย AI เมื่อสคริปต์ Lua ทำงาน มัลแวร์จะบันทึกบันทึกการทำงานและส่งกลับไปยังโมเดล AI เพื่อประเมินผล

 หากโค้ดทำงานไม่ถูกต้อง โมเดลจะได้รับคำสั่งให้แก้ไขสคริปต์ตามคำติชมก่อนที่จะเรียกใช้เวอร์ชันที่แก้ไขแล้วอีกครั้ง กระบวนการวนซ้ำนี้ช่วยให้มั่นใจได้ถึงความน่าเชื่อถือแม้ว่าลักษณะที่ไม่แน่นอนของโมเดลภาษา

ผลกระทบไม่ได้จำกัดอยู่แค่ PromptLock เท่านั้น นักวิจัยของ ESET ได้ระบุภัยคุกคามที่ขับเคลื่อนด้วย AI อื่นๆ รวมถึง PromptFlux ซึ่งกระตุ้นให้โมเดล AI ของ Gemini เขียนโค้ดต้นฉบับของ dropper ใหม่เพื่อให้สามารถคงอยู่ได้ และ PromptSteal ซึ่งสร้างคำสั่ง Windows เพื่อดึงเอกสารสำคัญจากอุปกรณ์ของเหยื่อ

ตลาด ransomware-as-a-service ก็เติบโตอย่างรวดเร็วเช่นกัน จำนวนเหยื่อที่รายงานต่อสาธารณะบนเว็บไซต์ที่เปิดเผยข้อมูลรั่วไหลนั้นเกินจำนวนรวมของปี 2024 ไปแล้วก่อนสิ้นปี โดยมีการคาดการณ์ว่าจะเพิ่มขึ้น 40 เปอร์เซ็นต์เมื่อเทียบกับปีต่อปี

ปัจจุบัน Qilin และ Akira ครองตลาด ransomware ในขณะที่กลุ่ม Warlock ที่กำลังเกิดขึ้นใหม่ได้นำเสนอเทคนิคการหลบเลี่ยงที่อันตรายซึ่งหลีกเลี่ยงเครื่องมือตรวจจับปลายทาง

 การบรรจบกันของการโจมตีที่ขับเคลื่อนด้วย AI และเศรษฐกิจแรนซัมแวร์ที่เฟื่องฟู ทำให้องค์กรทั่วโลกมีความจำเป็นเร่งด่วนด้านความปลอดภัยอย่างยิ่ง