ШІ стимулює кіберзлочинність: чому прогалини в безпеці зростають

Один із найбільш вражаючих висновків звіту Anthropic полягає в тому, що моделі ШІ більше не є пасивними помічниками – вони перетворюються на активних операторів у ланцюгу атаки. У кампанії, яку дослідники назвали “vibe hacking”, єдиний кіберзлочинець застосував ШІ, щоб запустити та масштабувати ransomware атаку. Штучний інтелект не просто пропонував команди, а виконував їх безпосередньо. Він здійснював автоматизовану розвідку, скануючи тисячі VPN-кінцевих точок для масового виявлення слабких місць. Також ШІ систематично займався викраденням облікових даних та горизонтальним переміщенням: витягував логіни, проводив перелік середовищ Active Directory та підвищував привілеї для проникнення глибше в мережі жертв. Для обходу засобів захисту, коли відбувалося виявлення, ШІ генерував заплутані варіанти шкідливого програмного забезпечення, які маскувались під легітимні файли Microsoft. Нарешті, він займався вилученням даних та організацією викупу: витягував конфіденційні записи та аналізував їх для встановлення вимог викупу та створення психологічно орієнтованих записок із погрозами оприлюднення інформації та звернення до регуляторних органів.

Усього за один місяць було атаковано сімнадцять організацій, включаючи державні установи, медичні заклади та служби екстреної допомоги. Суми викупу коливалися від $75 000 до понад $500 000, причому кожна записка була індивідуалізована для максимального тиску на жертву.

Це фундаментально змінює економіку атак: один зловмисник, озброєний агентним ШІ, тепер може завдати такого ж удару, як і скоординована група кіберзловмисників. Операції, які раніше вимагали тижнів планування та технічної експертизи, тепер можуть бути скорочені до годин. Припущення, що «складні атаки вимагають складних супротивників», більше не відповідає дійсності.

Інша ключова тема зі звіту Anthropic – це  те, як ШІ робить просунуті методи атаки доступними для людей з мінімальними технічними навичками або взагалі без них.

Традиційно, створення програм-вимагачів вимагало глибоких знань криптографії, внутрішньої будови Windows та методів обфускації. Однак у цьому випадку зловмисник із Великої Британії з обмеженими технічними здібностями створив і продавав повністю функціональні пакети «Ransomware як послуга» (RaaS), використовуючи допомогу ШІ.

Зловмисник покладався на ШІ для впровадження криптографії (шифрування ChaCha20, управління ключами RSA) та викликів Windows API – інструментів, які значно перевищували його особистий рівень. ШІ допоміг інтегрувати методи обходу анти-EDR, такі як маніпуляції з системними викликами (FreshyCalls, RecycledGate) та string obfuscation. Програми-вимагачі продавалися у вигляді ретельно оформлених сервісних пакетів. Попри свою залежність від ШІ, оператор розповсюджував шкідливе ПЗ на кримінальних форумах, пропонуючи його менш кваліфікованим кіберзловмисникам.

Цей приклад ілюструє, як ШІ демократизує доступ до складних кіберзлочинів: розробка складного шкідливого ПЗ більше не є прерогативою висококваліфікованих розробників, а бар’єри часу, навчання та експертизи усунені. Знижуючи поріг входу, ШІ різко збільшує обсяг та різноманітність атак програм-вимагачів, з якими можуть зіткнутися організації.

Звіт Anthropic показує, що кіберзловмисники використовують ШІ не лише для окремих завдань – вони впроваджують його в саму структуру своєї щоденної діяльності.

Яскравим прикладом є північнокорейські кіберзловминики, які видавали себе за розробників програмного забезпечення в західних технологічних компаніях. У цій схемі ШІ відігравав важливу роль на кожному етапі операції:

• Створення особистості: зловмисники використовували ШІ для генерації професійних резюме та технічних портфоліо, які витримували ретельну перевірку.
• Подання заявки та співбесіда: ШІ адаптував супровідні листи до вакансій та надавав допомогу в режимі реального часу під час оцінювання навичок кодування.
• Підтримка зайнятості: після найму зловмисники покладалися на ШІ для надання коду, відповідей на запити для злиття коду та спілкування англійською мовою, маскуючи технічні та культурні прогалини.
• Генерація доходу: завдяки ШІ, який надавав знання, яких їм бракувало, ці зловмисники могли займати кілька посад одночасно, фінансуючи програму озброєння Північної Кореї.

Цей кейс більше, ніж просто шахрайство – він про ШІ як операційну основу: технічна компетентність більше не є передумовою для доступу до високооплачуваних робіт у чутливих галузях, а ШІ дозволяє зловмисним інсайдерам тривалий час утримувати позиції. Групи, спонсоровані державами, можуть масштабувати свій вплив, оскільки ШІ замінює роки технічної освіти на навички, доступні в режимі реального часу.

Шахрайство завжди залежало від масштабу та швидкості. Тепер ШІ посилює всі ці аспекти. У звіті Anthropic розкрито, як кіберзловмисники застосовують ШІ на всіх етапах fraud supply chain, перетворюючи ізольоване шахрайство на стійкі, індустріалізовані екосистеми.

Зловмисники використовували ШІ для аналізу даних та профілювання жертв: парсили масивні дампи логів та створювали детальні профілі для точного таргетування. Для розробки інфраструктури зловмисники будували платформи на основі ШІ з автоматизованим перемиканням API та механізмами відмовостійкості, які працювали на рівні підприємства. ШІ використовувався для фабрикації облікових даних: генерував синтетичні облікові дані з правдоподібними персональними даними, дозволяючи шахраям легко обходити банківські та кредитні перевірки. Навіть для емоційного маніпулювання в романтичних аферах ШІ-генеровані чат-боти створювали просунуті, емоційно інтелектуальні відповіді.

ШІ більше не просто допомагає шахрайству – він організовує його: зловмисники можуть автоматизувати кожен етап операції, а шахрайські кампанії стають більш масштабованими, адаптивними та складнішими для виявлення. Навіть зловмисники з низькою кваліфікацією можуть створювати шахрайські сервіси, які виглядають як професійні платформи.

Звіт Anthropic чітко показує, що ШІ не просто робить зловмисників розумнішими – він робить їх швидшими та більш невловимими. І ця швидкість виявляє прогалини в сучасних стеках безпеки.

Традиційні інструменти не встигають. Засоби захисту кінцевих точок, мультифакторна аутентифікація та захист електронної пошти обходять, а не ламають. Зловмисники використовують ШІ, щоб обійти ці засоби контролю, створюючи нові варіанти шкідливого ПЗ або імітуючи співробітників. Час атак скорочується. Один оператор зі ШІ може виконати роботу цілої команди – розвідка, горизонтальне переміщення та ransomware тепер відбуваються за години, а не за тижні. Складність вже не дорівнює експертизі. ШІ дозволяє навіть некваліфікованим зловмисникам створювати просунуті програми-вимагачі.

Це і є суттєвим розривом у безпеці: поки інструменти запобігання захищають від відомих технік, супротивники, посилені ШІ, експлуатують сліпі зони між ними. І якщо команди SOC не можуть бачити поведінку, яку ШІ не може приховати (підвищення привілеїв, аномальний доступ, горизонтальне переміщення, підготовка даних до викрадення) – компрометація залишається непоміченою.

Для керівників бізнесу висновок простий: якщо зловмисники використовують ШІ для масштабування компрометації, вашій команді SOC необхідний ШІ для масштабування виявлення та реагування. Саме тут Vectra AI надає головну цінність.

Vectra AI виявляє те, що циркулює в мережі. Незалежно від того, чи це згенеровані ШІ програми-вимагачі, скомпрометовані співробітники чи прихована крадіжка даних, Vectra AI зосереджується на поведінці зловмисників, яку неможливо приховати: підвищення привілеїв, горизонтальне переміщення та вилучення даних. Також система забезпечує гібридне покриття, одночасно моніторячи системи ідентифікації, хмарні системи, SaaS-застосунки та мережевий трафік, усуваючи сліпі зони. Завдяки пріоритезації на основі ШІ, Vectra AI використовує його для кореляції та виведення на перший план найгостріших загроз.

Бізнес-цінність полягає у зниженні ризику фінансових втрат та репутаційної шкоди, одночасно надаючи команді безпеки впевненість у тому, що вони можуть виявити компрометацію, навіть коли зловмисники використовують ШІ для обходу стандартних і нестандартних систем захисту.