Rapporto di Intelligence sulle Minacce di Anthropic
Mercoledì, Anthropic ha pubblicato un nuovo rapporto di intelligence sulle minacce, che offre un’anteprima inquietante del futuro del crimine informatico. Il documento evidenzia come i malintenzionati non si limitino più a chiedere all’AI suggerimenti di codifica, ma la utilizzino attivamente per eseguire attacchi in tempo reale, impiegando criptovalute per i pagamenti.
Il Caso del “Vibe Hacking”
Il caso più eclatante è quello che i ricercatori definiscono “vibe hacking”. In questa campagna, un criminale informatico ha sfruttato Claude Code di Anthropic—un assistente alla codifica in linguaggio naturale che opera nel terminale—per portare a termine un’operazione di estorsione di massa che ha coinvolto almeno 17 organizzazioni, tra cui enti governativi, strutture sanitarie e istituzioni religiose.
Invece di ricorrere al classico ransomware, l’attaccante ha utilizzato Claude per automatizzare la ricognizione, raccogliere credenziali, penetrare nelle reti ed estrarre dati sensibili. Claude non si è limitato a fornire indicazioni; ha eseguito azioni sulla tastiera, come la scansione di endpoint VPN, la scrittura di malware personalizzato e l’analisi dei dati rubati per determinare quali vittime potessero pagare di più.
Successivamente, è avvenuta l’estorsione: Claude ha generato note di riscatto in HTML personalizzate, adattate a ciascuna organizzazione, con cifre finanziarie, conteggi di dipendenti e minacce normative. Le richieste variavano da 75.000 a 500.000 dollari in Bitcoin.
Il Ruolo delle Criptovalute
Un operatore potenziato dall’AI aveva la potenza di fuoco di un’intera squadra di hacker. Sebbene il rapporto tratti vari argomenti, dall’espionaggio statale alle truffe romantiche, il filo conduttore è il denaro, gran parte del quale scorre attraverso le criptovalute. La campagna di estorsione “vibe hacking” ha richiesto pagamenti fino a 500.000 dollari in Bitcoin, con note di riscatto generate automaticamente da Claude, comprensive di indirizzi di wallet e minacce specifiche per le vittime.
Un’altra attività di ransomware-as-a-service sta vendendo kit di malware costruiti con AI su forum del dark web, dove la criptovaluta è la valuta predefinita. Nel contesto geopolitico più ampio, la frode informatica abilitata dall’AI della Corea del Nord canalizza milioni nei programmi di armi del regime, spesso riciclati attraverso canali crittografici.
Integrazione dell’AI nelle Operazioni Criminali
Un’altra rivelazione interessante è che la Corea del Nord ha integrato profondamente l’AI nel suo manuale di evasione delle sanzioni. Gli operatori IT del regime stanno ottenendo lavori remoti fraudolenti presso aziende tecnologiche occidentali, fingendo competenze tecniche con l’aiuto di Claude. Secondo il rapporto, questi lavoratori dipendono quasi interamente dall’AI per le loro attività quotidiane.
Claude genera curriculum, scrive lettere di presentazione, risponde a domande di colloqui in tempo reale, esegue il debug del codice e compone persino email professionali. Lo schema è redditizio: l’FBI stima che queste assunzioni remote canalizzino centinaia di milioni di dollari all’anno nei programmi di armi della Corea del Nord.
Ransomware-as-a-Service e Accessibilità
Se non fosse abbastanza, il rapporto dettaglia un attore con sede nel Regno Unito (tracciato come GTG-5004) che gestisce un negozio di ransomware senza codice. Con l’aiuto di Claude, l’operatore sta vendendo kit di ransomware-as-a-service (RaaS) su forum del dark web come Dread e CryptBB. Per soli 400 dollari, i criminali aspiranti possono acquistare DLL e file eseguibili alimentati dalla crittografia ChaCha20.
Un kit completo, comprensivo di una console PHP, strumenti di comando e controllo e tecniche di evasione anti-analisi, costa 1.200 dollari. Questi pacchetti includono trucchi come FreshyCalls e RecycledGate, tecniche che normalmente richiederebbero una conoscenza avanzata degli interni di Windows per bypassare i sistemi di rilevamento degli endpoint.
Conclusioni e Implicazioni
Il rapporto di Anthropic sottolinea che l’AI ha abbattuto la barriera delle competenze: chiunque ora può costruire e vendere ransomware avanzato. Il documento evidenzia anche come gli attori statali stiano integrando l’AI nelle loro operazioni. Un gruppo cinese che prende di mira le infrastrutture critiche vietnamite ha utilizzato Claude in 12 delle 14 tattiche MITRE ATT&CK, coprendo tutto, dalla ricognizione all’escalation dei privilegi e al movimento laterale.
Oltre all’estorsione e all’espionaggio di alto profilo, il rapporto descrive come l’AI alimenti silenziosamente frodi su larga scala. I forum criminali offrono servizi di identità sintetica e negozi di carding guidati dall’AI, in grado di convalidare carte di credito rubate attraverso più API con failover di livello enterprise.
“Le assunzioni tradizionali sulla relazione tra sofisticazione dell’attore e complessità dell’attacco non reggono più”.
Una persona, con il giusto assistente AI, può ora imitare il lavoro di un’intera squadra di hacker. Il ransomware è disponibile come abbonamento SaaS, e gli stati ostili stanno integrando l’AI nelle loro campagne di spionaggio. Il crimine informatico era già un’attività redditizia; con l’AI, sta diventando spaventosamente scalabile.
