AI tools becoming hot commodities on ransomware marketplaces

ابزارهای هوش مصنوعی به یکی از داغ‌ترین کالاهای بازارهای زیرزمینی باج‌افزار تبدیل شده‌اند؛ بازاری که حالا بیش از هر زمان دیگری به یک اکوسیستم تجاری سازمان‌یافته شباهت دارد. رشد سریع عرضه این ابزارها نه‌تنها ورود مهاجمان کم‌تجربه به دنیای جرایم سایبری را آسان‌تر کرده، بلکه به گروه‌های باج‌افزاری اجازه داده است تا حملات خود را با سرعت، مقیاس و کارآمدی بیشتری اجرا کنند. یافته‌های جدید شرکت Halcyon نشان می‌دهد ابزارهای هوش مصنوعی دیگر صرفاً نقش کمکی ندارند و اکنون در بخش‌های مختلف زنجیره حمله، از تولید محتوای فیشینگ و جعل هویت مبتنی بر دیپ‌فیک گرفته تا مدیریت داده‌های سرقت‌شده و خودکارسازی فرآیندهای عملیاتی، به‌کار گرفته می‌شوند.

تحلیل 20 انجمن دارک‌وب، پنج بازار زیرزمینی و ده‌ها کانال تلگرامی نشان می‌دهد تعداد آگهی‌های مرتبط با قابلیت‌های مبتنی بر هوش مصنوعی از 38 مورد در دسامبر 2025 به  1,486 مورد در فوریه 2026 رسیده است؛ جهشی قابل‌توجه که از افزایش تقاضا برای این فناوری‌ها و حرفه‌ای‌تر شدن اکوسیستم باج‌افزار خبر می‌دهد.

چهار گروه اصلی ابزارهای هوش مصنوعی در بازارهای زیرزمینی باج‌افزار

بررسی Halcyon نشان می‌دهد ابزارهای هوش مصنوعی عرضه‌شده در بازارهای زیرزمینی باج‌افزار را می‌توان در چهار دسته اصلی طبقه‌بندی کرد؛ ابزارهایی که از دور زدن کنترل‌های امنیتی گرفته تا خودکارسازی مراحل مختلف حمله، نقش پررنگی در عملیات مجرمان سایبری ایفا می‌کنند.

• مدل‌های زبانی بزرگ مخرب: این دسته که با عنوان Dark LLM نیز شناخته می‌شود، شامل مدل‌های زبانی بزرگی است که محدودیت‌های امنیتی، مکانیزم‌های حفاظتی و کنترل‌های ایمنی تعبیه‌شده در نسخه‌های قانونی آن‌ها حذف یا غیرفعال شده است. این ابزارها به‌گونه‌ای طراحی شده‌اند که بتوان از آن‌ها برای فعالیت‌های مجرمانه، از تولید محتوای فیشینگ و کدنویسی بدافزار گرفته تا پشتیبانی از حملات سایبری، استفاده کرد. در میان این ابزارها، نام WormGPT بیش از سایر نمونه‌ها به چشم می‌خورد. با این حال، Halcyon تأکید می‌کند که WormGPT در واقع یک محصول واحد نیست، بلکه برندی است که توسط چندین اپراتور مختلف مورد استفاده قرار می‌گیرد. برخی از این سرویس‌ها نیز چیزی جز کلاهبرداری نیستند و صرفاً با سوءاستفاده از شهرت این نام، از کاربران وجه نقد دریافت می‌کنند، بی‌آنکه سرویس یا قابلیت واقعی در اختیار آن‌ها قرار دهند.
• ابزارهای جعل هویت مبتنی بر هوش مصنوعی: این دسته شامل فناوری‌های تولید دیپ‌فیک صوتی و تصویری است که برای دور زدن سامانه‌های احراز هویت چهره و کنترل‌های «احراز هویت مشتری» (KYC) به کار می‌روند. این ابزارها به مهاجمان امکان می‌دهند هویت افراد را با دقت بالایی جعل کرده و مکانیزم‌های تایید هویت را فریب دهند. علاوه بر این، از این فناوری‌ها در حملات «کلاهبرداری از طریق ایمیل تجاری» (BEC) نیز برای متقاعدسازی قربانیان و افزایش موفقیت حملات مهندسی اجتماعی استفاده می‌شود.
• بدافزارها و زیرساخت‌های حمله تقویت‌شده با هوش مصنوعی: هوش مصنوعی به‌طور فزاینده‌ای در زیرساخت‌های مورد استفاده مهاجمان برای جمع‌آوری، پردازش و استخراج داده‌های سرقت‌شده به‌کار گرفته می‌شود. این فناوری‌ها با خودکارسازی بخشی از فرآیندها، امکان مدیریت کارآمدتر داده‌ها و اجرای حملات در ابعاد گسترده‌تر را برای مجرمان سایبری فراهم کرده‌اند.
• سرویس‌های هوش مصنوعی هک‌شده و فاقد محدودیت‌های امنیتی: این بخش شامل حساب‌های سرقت‌شده سرویس‌های هوش مصنوعی و نسخه‌هایی است که محدودیت‌ها و مکانیزم‌های حفاظتی آن‌ها غیرفعال شده است. طبق گزارش Halcyon، این دسته نه‌تنها بزرگ‌ترین بخش بازار را به خود اختصاص داده، بلکه ارزان‌ترین سرویس موجود در بازارهای زیرزمینی نیز محسوب می‌شود.

برآوردهای Halcyon نشان می‌دهد حجم حملات باج‌افزاری از سال 2023 تاکنون حدود 20 درصد افزایش یافته است. همزمان، تمرکز مهاجمان به شکل محسوسی به سمت کسب‌وکارهای کوچک و متوسط تغییر کرده است؛ به‌طوری که این سازمان‌ها اکنون حدود 80 درصد اهداف حملات باج‌افزاری را به خود اختصاص می‌دهند.

تجاری‌سازی ابزارهای هوش مصنوعی در اکوسیستم باج‌افزار

در جریان رویداد Infosecurity Europe، سینتیا کایزر (Cynthia Kaiser)، معاون ارشد مرکز تحقیقات باج‌افزار Halcyon، توضیح داد که گروه‌های بزرگ باج‌افزاری مانند Akira بیش از گذشته با مدل‌هایی مشابه شرکت‌های تجاری فعالیت می‌کنند. ابزارهای هوش مصنوعی در این ساختار، در کنار اکسپلویت‌ها، اعتبارنامه‌های سرقت‌شده و زیرساخت‌های حمله، به‌عنوان سرویس‌ها و محصولات قابل فروش در اختیار مشتریان و همکاران (Affiliates) این گروه‌ها قرار می‌گیرند. به گفته او، تفاوت اصلی این بازارها با نمونه‌های قانونی در ماهیت کالاهای عرضه‌شده است؛ جایی که به‌جای محصولات قانونی، ابزارهای نفوذ، دسترسی‌های غیرمجاز و اطلاعات سرقتی خریدوفروش می‌شود.

گروه‌های باج‌افزاری معمولاً سرویس‌های خود را از طریق چندین کانال مختلف عرضه می‌کنند تا در صورت از دسترس خارج شدن یکی از آن‌ها، همچنان بتوانند به فعالیت خود ادامه دهند. این سرویس‌ها معمولاً در قالب بسته‌های مختلف با امکانات متفاوت ارائه می‌شوند و در بسیاری از موارد از مدل فریمیوم (Freemium) نیز بهره می‌برند؛ مدلی که پیش‌تر در میان سرویس‌های آنلاین قانونی رایج بود.

در همین حال، ربات‌های تلگرامی بخش قابل توجهی از فرآیند فروش و بازاریابی را خودکار کرده‌اند و برخی مجرمان سایبری حتی از قابلیت‌های هوش مصنوعی برای پاسخ‌گویی و پشتیبانی از مشتریان خود استفاده می‌کنند. به گفته کایزر، معاون سابق بخش سایبری اف‌بی‌آی (FBI)، آماده‌بودن ابزارها و زیرساخت‌ها باعث شده تا برخلاف گذشته، برای اجرای حملات سایبری نیازی به دانش فنی عمیق نباشد؛ موضوعی که ورود به این اکوسیستم مجرمانه را ساده‌تر کرده و سطح مهارت مورد نیاز برای انجام حملات را کاهش داده است.

بی‌اعتمادی در دل بازار مجرمانه

با وجود ظاهر حرفه‌ای این بازارها، کایزر هشدار می‌دهد که امنیت عملیاتی (OpSec) در میان مجرمان بسیار ضعیف‌تر از آن چیزی است که در نگاه اول به نظر می‌رسد. به گفته او، بازارهای مجرمانه مبتنی بر هوش مصنوعی حتی با نوعی «درگیری داخلی» نیز روبه‌رو هستند؛ جایی که عوامل تهدید سایبری Black Hat نه‌تنها با یکدیگر همکاری نکرده، بلکه گاهی به رقبای خود نیز حمله می‌کنند.

برای نمونه، در یکی از موارد، اطلاعات دسترسی مربوط به یکی از نسخه‌های WormGPT توسط مجرمان رقیب سرقت شد و دوباره در همان انجمنی منتشر شد که پیش‌تر این دسترسی را برای فروش عرضه می‌کرد.

با وجود چنین آشفتگی‌هایی، استفاده از ابزارهای هوش مصنوعی همچنان به حرفه‌ای‌تر شدن اکوسیستم زیرزمینی باج‌افزار دامن زده است؛ چراکه این ابزارها اجرای هم‌زمان چندین حمله را آسان‌تر کرده و امکان گسترش عملیات در مقیاس وسیع را فراهم می‌کنند.

افزایش سودآوری و حرفه‌ای‌تر شدن بازار باج‌افزار

گزارش‌های شرکت Rapid7 نشان می‌دهد باج‌افزار از نظر اقتصادی نیز سودآورتر از گذشته شده است. بر اساس این گزارش، میزان سودآوری این حملات بین سه‌ماهه نخست 2025 تا سه‌ماهه نخست 2026 حدود 39 درصد افزایش یافته است.

• گروه Qilin در فاصله جولای 2025 تا مارس 2026 حدود 193 میلیون دلار درآمد داشته است.
• گروه The Gentleman نیز در همین بازه زمانی 52 میلیون دلار درآمد ثبت کرده است.

شرکت Rapid7 این تحلیل را بر پایه میانگین مبالغ باج و نرخ پرداخت قربانیان، با بهره‌گیری از داده‌های شرکت CoveWare انجام داده است؛ شرکتی که در حوزه پاسخ‌گویی به رخداد‌های باج‌افزاری و اخاذی سایبری فعالیت می‌کند.

به گفته «تام لنگفورد» (Thom Langford)، مدیر ارشد فناوری Rapid7 در حوزه اروپا، خاورمیانه و آفریقا (EMEA)، اکوسیستم باج‌افزار امروز عملاً به یک بازار زیرزمینی کامل تبدیل شده است؛ بازاری که در آن دسترسی‌های اولیه، ابزارهای حمله و حتی سرویس‌های کامل اجرای عملیات، برای هر فردی قابل خرید است.

همچنین او تأکید می‌کند که مهاجمان، ابزارهای هوش مصنوعی را به‌طور گسترده در مهندسی اجتماعی و طراحی ایمیل‌های فیشینگ متقاعدکننده‌تر به کار می‌گیرند و از این طریق، نرخ موفقیت حملات خود را افزایش می‌دهند.

راهکارهای دفاعی

به گفته شرکت Halcyon، هرچند اقدامات برهم‌زننده نهادهای مجری قانون تا حدی از سرعت گسترش باج‌افزار جلوگیری کرده است، اما سازمان‌ها نیز باید نقش فعال‌تری در تقویت دفاع سایبری خود داشته باشند. به باور این شرکت، تمرکز اصلی دفاع باید بر جلوگیری از دسترسی اولیه مهاجمان، شناسایی و مهار حرکت جانبی در شبکه (Lateral Movement) و همچنین جلوگیری از استخراج داده‌ها و رمزگذاری سیستم‌ها قرار بگیرد.

کایزر در پایان هشدار می‌دهد که با گسترش استفاده مهاجمان از ابزارهای هوش مصنوعی، اجرای حملات ساده‌تر و سریع‌تر شده است. ازاین‌رو، سازمان‌ها باید از طریق برگزاری مانورهای شبیه‌سازی حملات سایبری، به‌روزرسانی فرآیندهای پاسخ به رخداد و افزایش تاب‌آوری عملیاتی، سطح آمادگی خود را در برابر تهدیدات فزاینده باج‌افزاری افزایش دهند.

منابع