勒索软件攻击在过去十年中深刻地重塑了网络犯罪的格局，其规模和影响甚至超过了传统的银行抢劫案。随着时间的推移，勒索软件已经从简单的技术漏洞演变为涵盖策略规避、业务分析、职责分离和洗钱等多方面的商业活动。如今，数据加密正让位于数据泄露和勒索。威胁行为者越来越擅长分析被盗数据和敲诈勒索，从而使企业不惜违背道德而支付赎金。

人工智能 (AI) 在勒索软件领域并不新鲜。早在2010年代初，我们就在勒索软件攻击中目睹了相对复杂的伪智能决策。在此期间，威胁行为者开始自动决定哪些数据最敏感。例如，在个人电脑上，他们会优先考虑财务文件和相册，并假设这些是人们不愿失去的最珍贵数据。类似地，在企业环境中，他们将专注于加密包含最重要业务数据的特定文件夹和文件。

过去的一年见证了人工智能技术的飞跃，消费者可以使用各种人工智能引擎。虽然这些引擎拥有一套核心道德规范，但仍有可能妥协或创建针对网络犯罪的定制人工智能。人工智能进步的影响延伸到了勒索软件领域。

尽管 2023 年人工智能在勒索软件中的作用仍然有限，但展望其潜在应用至关重要。虽然目前并非所有以下举措都处于活跃状态，但人工智能驱动的勒索软件的出现在不久的将来将成为更可怕的威胁。

让我们从受害者定位开始。如今，许多勒索软件团伙不再满足于简单地将网络钓鱼电子邮件填满我们的邮箱，他们正在仔细研究潜在目标，从公司高管、IT部门到其他关键员工。重点不仅在于赎金本身，还在于衡量公司在面临如此严峻的情况时实际支付赎金的倾向。因此，相应的网络钓鱼活动超越了正常网络钓鱼或鱼叉式网络钓鱼的范围，明显变得更加复杂。目标准备通过复杂的通信网络发起攻击，包括与潜在受害者的电话甚至视频通话。人工智能在此类攻击中的协助具有巨大的价值，因为它可以识别所需的目标并精心策划复杂的策略，而不仅仅是网络钓鱼尝试。这些策略涉及复杂的通信组件，促进额外的信任并协助对存储有价值数据的网络或系统的访问。

将恶意负载部署到目标计算机上是一项非常复杂的任务。恶意负载不是可以根据签名轻松检测到的静态可执行文件。人工智能可以为每个受害者生成定制的有效负载，并耐心而精确地在受损系统中逐步推进。恶意软件成功的关键在于模仿正常的预期行为，避免触发任何防御措施，即使是来自警惕的用户本身。我们目睹了各种发行版中出现的看似真实的软件，表面上是提供特定的功能，但别有用心地赢得用户的信任以便最终达到恶意目的。在这种情况下，人工智能完全有能力简化流程，制作具备处于休眠状态的恶意功能的软件，准备在稍后（可能在下一次更新期间）激活。

在2010年代末，勒索软件攻击通常会持续几个月，从感染到加密。许多受感染的设备如果不及时修复，将在很长一段时间内保持受感染状态。然而，近年来，我们目睹了攻击速度的迅速加快，将时间从几个月压缩到几天，然后从几天压缩到几小时。人工智能具有显著加速整个过程的潜力。尽管遇到了现有的防御，但可以提高攻击和规避新障碍决策的速度，从而可使得禁用备份和防御机制失效。如果所有要素迅速有效地协调起来，受害者的网络可能会在短短几分钟内变得毫无防御能力。

目前，数据加密和泄露过程缓慢且容易被检测到。威胁行为者正在探索人工智能战略性地瞄准关键数据的潜力。在勒索软件攻击过程中，数百万个文件可能会受到影响，但并非所有文件都包含敏感数据。数据定位的优先级是威胁行为者非常期望的功能。他们试图在瞄准剩余数据之前获取关键信息。完成渗透后，数据的索引评估仍然至关重要。虽然有些数据可能看起来很有趣但缺乏价值，但其他数据可能会带来监管风险或涉及商业秘密。在坏人指导下，可以利用人工智能挖掘这些隐藏的“宝石”。即使数据受密码保护，这些密码也可能隐藏在其他泄露的文件中。如今，许多威胁行为者正在采用人工智能识别所窃取的内容并确定所获取数据的价值。

即使在犯罪发生后，也可能需要人工智能的帮助。在勒索软件谈判期间，已经存在威胁行为者向ChatGPT寻求帮助的情况。目前，重点是正确表述具体问题，但最终目的是不带情绪地谈判。人工智能驱动的聊天机器人有可能成为未来的勒索软件谈判者，采用公式化的方法表述要求、启动计时器并根据受害者的行为做出响应。

显然，勒索软件攻击的几乎每个方面都可以委托给人工智能。这包括操作的安全要素，隐藏可能指向实际威胁行为者的踪迹。

问题出现了：我们应该如何应对这些攻击？这不仅仅是人工智能是否先进以及它是否由威胁行为者或防御者控制的问题。相反，应对这种由人工智能增强的威胁形势需要一种系统性的防御方法，即预测下一步行动并制定策略予以抵御。

虽然将人工智能集成到防御中可能会大大提高可见性，但由人工智能驱动的攻击将表现出系统性和可预测的模式。此类攻击可能会被蜜罐、测量攻击速度的工具和各种其他防御方法诱骗。好消息是，随着勒索软件攻击的不断发展，只要精心应用，我们的防御措施就可以有效地赶上它们的进步。