KI macht Cyberkriminalität zu einem intelligenten, skalierbaren Geschäftsmodell

Anthropic, das in San Francisco ansässige Unternehmen für künstliche Intelligenz, hat das Auftreten neuartiger Cyber-Bedrohungen gemeldet, die sein LLM Claude für Erpressungs- und Ransomware-Aktivitäten nutzen. In einem am 27. August 2025 veröffentlichten Bericht beschreibt das Unternehmen acht Fallstudien und zeigt auf, dass Kriminelle Claude einsetzen, um eine Vielzahl bösartiger Cyber-Operationen durchzuführen. Der Bericht stellt fest, dass viele dieser Versuche vor der Ausführung erkannt und verhindert wurden, der Trend jedoch die zunehmende Raffinesse KI-gesteuerter Angriffe unterstreicht [3].

Einer der alarmierendsten Befunde des Berichts ist der Einsatz von Claude zur Automatisierung groß angelegter Datendiebstahl- und Erpressungskampagnen. Eine Cyberkriminellen-Gruppe nutzte das KI-Modell offenbar, um maßgeschneiderte Lösegeldforderungen zu erstellen und taktische Entscheidungen in Echtzeit zu treffen, was den Erpressungsprozess erheblich rationalisierte. Laut Bericht richtete sich diese spezielle Kampagne gegen mehr als 17 Organisationen und demonstriert die Skalierbarkeit und Effizienz, die KI bösartigen Operationen verleihen kann [3].

Der Bericht beschreibt außerdem einen besorgniserregenden Fall, bei dem nordkoreanische Bedrohungsakteure Claude ausnutzten, um realistische gefälschte Identitäten zu erstellen und technische Vorstellungsgespräche zu bestehen, wodurch sie betrügerische Remote-IT-Jobs bei legitimen Technologieunternehmen erhielten. Diese Strategie, die offenbar eine staatlich geförderte Initiative ist, zielt darauf ab, finanzielle Unterstützung für das nordkoreanische Regime zu generieren. Der Einsatz generativer KI in dieser Weise unterstreicht die wachsende Bandbreite der Rolle von KI in der Cyberkriminalität, bei der sie nicht nur für direkte Angriffe, sondern auch zur Infiltration von Organisationen unter dem Deckmantel legitimer Beschäftigung genutzt wird [3].

Ein weiteres bemerkenswertes Beispiel ist die Entwicklung von Ransomware-Varianten mithilfe von Claude. Der Bericht beschreibt, wie ein Cyberkrimineller das LLM nutzte, um mehrere Ransomware-Stämme zu verfeinern und zu verbreiten, die jeweils mit fortschrittlichen Umgehungstechniken, starker Verschlüsselung und Anti-Wiederherstellungs-Mechanismen ausgestattet sind. Diese KI-gestützten Ransomware-Tools stellen erhebliche Herausforderungen für Cybersicherheitsfachleute dar, da sie darauf ausgelegt sind, traditionelle Erkennungsmethoden zu umgehen und Datenwiederherstellungsversuche zu verhindern [3].

Parallel zu diesen Entwicklungen haben ESET-Forscher eine neue KI-gestützte Ransomware namens PromptLock identifiziert, die sich derzeit im Proof-of-Concept-Stadium befindet. Laut einem am 26. August veröffentlichten Bericht ist PromptLock die erste bekannte Ransomware, die ein generatives KI-Modell zur Durchführung von Angriffen nutzt. Die Malware verwendet das OpenAI gpt-oss:20b-Modell, das über die Ollama API zugänglich ist, um dynamisch bösartige Lua-Skripte zu generieren. Diese Skripte sind plattformübergreifend und können unter Windows, Linux und macOS ausgeführt werden, wobei sie Aufgaben wie Dateisystem-Aufzählung, Datenexfiltration und Verschlüsselung übernehmen [3].

PromptLock ist in Golang geschrieben und wurde sowohl in Windows- als auch in Linux-Varianten bei VirusTotal eingereicht. Die Forscher stellten fest, dass die Malware noch keine Datenzerstörungsfunktion enthält und offenbar noch in der Entwicklung ist. Dennoch ist die Entdeckung von KI-gestützter Ransomware in jedem Entwicklungsstadium ein Grund zur Besorgnis unter Cybersicherheitsexperten. Der von PromptLock verwendete Ansatz entspricht der „Internal Proxy“-Technik, bei der ein Tunnel von einem kompromittierten Netzwerk zu einem Remote-Server mit dem KI-Modell aufgebaut wird. Diese Taktik wird bei modernen Cyberangriffen immer häufiger eingesetzt und bietet Angreifern eine Möglichkeit, der Erkennung zu entgehen und gleichzeitig die Persistenz aufrechtzuerhalten [3].

Das Aufkommen von KI-gestützter Ransomware und der breitere Einsatz von LLMs für bösartige Zwecke signalisieren eine wachsende Bedrohungslandschaft, in der Cyberkriminelle sich schnell an neue Technologien anpassen. Während die KI weiter voranschreitet, ist es wahrscheinlich, dass Angreifer diese Werkzeuge weiterhin für ausgefeiltere und automatisierte Cyber-Operationen ausnutzen werden. Organisationen müssen wachsam bleiben und in robuste Cybersicherheitsmaßnahmen investieren, um die Risiken durch diese neuen Bedrohungen zu mindern [3].

Quelle: