ИИ стимулирует киберпреступность: почему пробелы в безопасности увеличиваются

Один из самых впечатляющих выводов отчета Anthropic заключается в том, что модели ИИ больше не являются пассивными помощниками – они превращаются в активных операторов в цепочке атаки. В кампании, которую исследователи назвали «vibe hacking», единственный киберпреступник применил ИИ, чтобы запустить и масштабировать ransomware-атаку. Искусственный интеллект не просто предлагал команды, а выполнял их напрямую. Он осуществлял автоматизированную разведку, сканируя тысячи VPN-конечных точек для массового выявления слабых мест. Также ИИ систематически занимался похищением учетных данных и горизонтальным перемещением: извлекал логины, проводил перечень сред Active Directory и повышал привилегии для проникновения глубже в сети жертв. Для обхода средств защиты, когда происходило обнаружение, ИИ генерировал запутанные варианты вредоносного программного обеспечения, которые маскировались под легитимные файлы Microsoft. Наконец, он занимался изъятием данных и организацией выкупа: извлекал конфиденциальные записи и анализировал их для установления требований выкупа и создания психологически ориентированных записок с угрозами обнародования информации и обращения в регулирующие органы.

Всего за один месяц было атаковано семнадцать организаций, включая государственные учреждения, медицинские учреждения и службы экстренной помощи. Суммы выкупа колебались от $75 000 до более $500 000, причем каждая записка была индивидуализирована для максимального давления на жертву.

Это фундаментально меняет экономику атак: один злоумышленник, вооруженный агентским ИИ, теперь может нанести такой же удар, как и скоординированная группа киберпреступников. Операции, которые раньше требовали недель планирования и технической экспертизы, теперь могут быть сокращены до часов. Предположение, что «сложные атаки требуют сложных противников», больше не соответствует действительности.

Другая ключевая тема из отчёта Anthropic – это то, как ИИ делает продвинутые методы атаки доступными для людей с минимальными техническими навыками или вообще без них.

Традиционно создание программ-вымогателей требовало глубоких знаний криптографии, внутреннего устройства Windows и методов обфускации. Однако в этом случае злоумышленник из Великобритании с ограниченными техническими способностями создал и продавал полностью функциональные пакеты «Ransomware как услуга» (RaaS), используя помощь ИИ.

Злоумышленник полагался на ИИ для внедрения криптографии (шифрование ChaCha20, управление ключами RSA) и вызовов Windows API – инструментов, которые значительно превосходили его личный уровень. ИИ помог интегрировать методы обхода анти-EDR, такие как манипуляции с системными вызовами (FreshyCalls, RecycledGate) и string obfuscation. Программы-вымогатели продавались в виде тщательно оформленных сервисных пакетов. Несмотря на свою зависимость от ИИ, оператор распространял вредоносное ПО на криминальных форумах, предлагая его менее квалифицированным киберзлоумышленникам.

Этот пример иллюстрирует, как ИИ демократизирует доступ к сложным киберпреступлениям: разработка сложного вредоносного ПО больше не является прерогативой высококвалифицированных разработчиков, а барьеры времени, обучения и экспертизы устранены. Снижая порог входа, ИИ резко увеличивает объём и разнообразие атак программ-вымогателей, с которыми могут столкнуться организации.

Отчет Anthropic показывает, что киберзлоумышленники используют ИИ не только для отдельных задач – они внедряют его в самую структуру своей повседневной деятельности.

Ярким примером являются северокорейские киберзлоумышленники, которые выдавали себя за разработчиков программного обеспечения в западных технологических компаниях. В этой схеме ИИ играл важную роль на каждом этапе операции:

• Создание личности: злоумышленники использовали ИИ для генерации профессиональных резюме и технических портфолио, которые выдерживали тщательную проверку.
• Подача заявки и собеседование: ИИ адаптировал сопроводительные письма к вакансиям и предоставлял помощь в реальном времени во время оценки навыков кодирования.
• Поддержка занятости: после найма злоумышленники полагались на ИИ для предоставления кода, ответов на запросы для слияния кода и общения на английском, маскируя технические и культурные пробелы.
• Генерация дохода: благодаря ИИ, который предоставлял недостающие им знания, эти злоумышленники могли занимать несколько должностей одновременно, финансируя программу вооружения Северной Кореи.

Этот кейс больше, чем просто мошенничество – он о ИИ как операционной основе: техническая компетентность больше не является предпосылкой для доступа к высокооплачиваемым работам в чувствительных отраслях, а ИИ позволяет злоумышленным инсайдерам длительное время удерживать позиции. Группы, спонсируемые государствами, могут масштабировать свое влияние, поскольку ИИ заменяет годы технического образования на навыки, доступные в реальном времени.

Мошенничество всегда зависело от масштаба и скорости. Теперь ИИ усиливает все эти аспекты. В отчете Anthropic раскрыто, как киберзлоумышленники применяют ИИ на всех этапах fraud supply chain, превращая изолированное мошенничество в устойчивые, индустриализированные экосистемы.

Злоумышленники использовали ИИ для анализа данных и профилирования жертв: парсили массивные дампы логов и создавали детальные профили для точного таргетирования. Для разработки инфраструктуры злоумышленники строили платформы на основе ИИ с автоматизированным переключением API и механизмами отказоустойчивости, которые работали на уровне предприятия. ИИ использовался для фабрикации учетных данных: генерировал синтетические учетные данные с правдоподобной персональной информацией, позволяя мошенникам легко обходить банковские и кредитные проверки. Даже для эмоционального манипулирования в романтических аферах ИИ-генерированные чат-боты создавали продвинутые, эмоционально интеллектуальные ответы.

ИИ больше не просто помогает мошенничеству – он организует его: злоумышленники могут автоматизировать каждый этап операции, а мошеннические кампании становятся более масштабируемыми, адаптивными и сложными для обнаружения. Даже злоумышленники с низкой квалификацией могут создавать мошеннические сервисы, которые выглядят как профессиональные платформы.

Отчет Anthropic ясно показывает, что ИИ не просто делает злоумышленников умнее — он делает их быстрее и более неуловимыми. И эта скорость выявляет пробелы в современных стекх безопасности.

Традиционные инструменты не успевают. Средства защиты конечных точек, многофакторная аутентификация и защита электронной почты обходятся, а не ломаются. Злоумышленники используют ИИ, чтобы обойти эти средства контроля, создавая новые варианты вредоносного ПО или имитируя сотрудников. Время атак сокращается. Один оператор с ИИ может выполнить работу целой команды — разведка, горизонтальное перемещение и ransomware теперь занимают часы, а не недели. Сложность уже не равна экспертизе. ИИ позволяет даже неквалифицированным преступникам создавать продвинутые программы-вымогатели.

Это и есть значительный разрыв в безопасности: пока инструменты предотвращения защищают от известных техник, противники, усиленные ИИ, эксплуатируют слепые зоны между ними. И если команды SOC не могут увидеть поведение, которое ИИ не может скрыть (повышение привилегий, аномальный доступ, горизонтальное перемещение, подготовка данных к похищению) — компрометация остается незамеченной.

Для руководителей бизнеса вывод прост: если злоумышленники используют ИИ для масштабирования компрометации, вашей команде SOC необходим ИИ для масштабирования обнаружения и реагирования. Именно здесь Vectra AI приносит главную ценность.

Vectra AI выявляет то, что циркулирует в сети. Независимо от того, сгенерированы ли это программы-вымогатели ИИ, скомпрометированные сотрудники или скрытая кража данных, Vectra AI сосредоточивается на поведении злоумышленников, которое невозможно скрыть: повышение привилегий, горизонтальное перемещение и извлечение данных. Также система обеспечивает гибридное покрытие, одновременно контролируя системы идентификации, облачные системы, SaaS-приложения и сетевой трафик, устраняя слепые зоны. Благодаря приоритезации на основе ИИ, Vectra AI использует его для корреляции и выявления наиболее острых угроз.

Бизнес-ценность заключается в снижении риска финансовых потерь и репутационных убытков, одновременно предоставляя команде безопасности уверенность в том, что они могут обнаружить компрометацию, даже когда злоумышленники используют ИИ для обхода стандартных и нестандартных систем защиты.