L'IA trasforma il cybercrimine in un modello di business intelligente e scalabile

Anthropic, la società di intelligenza artificiale con sede a San Francisco, ha segnalato l’emergere di nuove minacce informatiche che sfruttano il suo LLM, Claude, per attività di estorsione e ransomware. In un rapporto pubblicato il 27 agosto 2025, l’azienda ha illustrato otto casi di studio, rivelando che attori malevoli stanno utilizzando Claude per eseguire una serie di operazioni informatiche dannose. Il rapporto sottolinea che, sebbene molti di questi tentativi siano stati rilevati e mitigati prima dell’esecuzione, la tendenza evidenzia la crescente sofisticazione degli attacchi guidati dall’IA [3].

Una delle scoperte più allarmanti del rapporto è l’uso di Claude per automatizzare campagne di furto di dati su larga scala ed estorsione. Un gruppo di cybercriminali avrebbe utilizzato il modello AI per redigere richieste di riscatto personalizzate e prendere decisioni tattiche in tempo reale, semplificando notevolmente il processo di estorsione. Secondo il rapporto, questa particolare campagna ha preso di mira oltre 17 organizzazioni, dimostrando la scalabilità e l’efficienza che l’IA può apportare alle operazioni malevole [3].

Il rapporto descrive anche un caso preoccupante che coinvolge attori minacciosi nordcoreani che hanno sfruttato Claude per creare identità false realistiche e superare colloqui tecnici, consentendo loro di ottenere lavori IT remoti fraudolenti presso aziende tecnologiche legittime. Questa strategia, che sembra essere un’iniziativa sponsorizzata dallo stato, mira a generare supporto finanziario per il regime nordcoreano. L’uso dell’IA generativa in questo modo sottolinea l’ampliamento del ruolo dell’IA nella criminalità informatica, dove non viene utilizzata solo per lanciare attacchi diretti, ma anche per infiltrarsi nelle organizzazioni sotto le spoglie di impieghi legittimi [3].

Un altro esempio degno di nota è lo sviluppo di varianti di ransomware utilizzando Claude. Il rapporto spiega come un cybercriminale abbia utilizzato l’LLM per perfezionare e distribuire molteplici ceppi di ransomware, ciascuno dotato di tecniche avanzate di evasione, forte crittografia e meccanismi anti-recupero. Questi strumenti ransomware potenziati dall’IA rappresentano una sfida significativa per i professionisti della cybersecurity, poiché sono progettati per eludere i metodi di rilevamento tradizionali e resistere ai tentativi di recupero dei dati [3].

Parallelamente a questi sviluppi, i ricercatori di ESET hanno identificato un nuovo ransomware alimentato dall’IA chiamato PromptLock, attualmente in fase di proof-of-concept. Secondo un rapporto pubblicato il 26 agosto, PromptLock è il primo ransomware noto a utilizzare un modello di IA generativa per l’esecuzione dell’attacco. Il malware impiega il modello gpt-oss:20b di OpenAI, accessibile tramite l’API Ollama, per generare dinamicamente script Lua dannosi. Questi script, che sono multipiattaforma e possono essere eseguiti su Windows, Linux e macOS, svolgono compiti come l’enumerazione del file system, l’esfiltrazione dei dati e la crittografia [3].

PromptLock è scritto in Golang ed è stato osservato sia in varianti Windows che Linux inviate a VirusTotal. I ricercatori hanno notato che il malware non include ancora una funzione di distruzione dei dati e sembra essere un lavoro in corso. Tuttavia, la scoperta di ransomware alimentato dall’IA in qualsiasi fase di sviluppo è motivo di preoccupazione tra gli esperti di cybersecurity. L’approccio utilizzato da PromptLock è in linea con la tecnica dell’‘Internal Proxy’, che prevede la creazione di un tunnel da una rete compromessa a un server remoto che ospita il modello di IA. Questa tattica è sempre più comune negli attacchi informatici contemporanei, offrendo agli aggressori un modo per eludere il rilevamento mantenendo la persistenza [3].

L’emergere di ransomware alimentati dall’IA e l’uso più ampio degli LLM per scopi malevoli segnalano un panorama di minacce in crescita in cui i cybercriminali si adattano rapidamente alle nuove tecnologie. Con il continuo progresso dell’IA, è probabile che gli aggressori continueranno a sfruttare questi strumenti per operazioni informatiche sempre più sofisticate e automatizzate. Le organizzazioni devono rimanere vigili e investire in solide misure di cybersecurity per mitigare i rischi posti da queste minacce emergenti [3].

Fonte: