Головна Спільнота

Хакери переходять на ШІ. Що це означає для безпеки українського бізнесу

5 хвилин читання

Кілька років тому штучний інтелект був інструментом інноваторів, дослідників і компаній, які створювали щось нове. У 2025 році він став ще й зброєю. CERT-UA у своєму останньому звіті зафіксувала: російське кіберугруповання UAC-0219 вже використовує ШІ для генерації шкідливих скриптів. Це більше не футурологія, а реальність.

Група створює вірус Wrecksteel, який змінює форму щоразу, коли запускається. Такий підхід зводить нанівець класичний захист, який покладається на сигнатури — хеші, відбитки файлів, відомі ознаки загроз. Якщо раніше хакеру треба було сидіти годинами, вручну переписуючи код, тепер ШІ здатен робити це автоматично: сотні, тисячі, мільйони разів. І саме це робить нову хвилю атак небезпечною та майже невидимою. 

Як працюють ШІ-атаки: поліморфізм на стероїдах

Читайте також: Компанія Anthropic тимчасово зупинила роботу своїх нових моделей штучного інтелекту Claude Fable 5 та Mythos 5 після вимог американської влади, яка висловила занепокоєння щодо їхніх можливостей у сфері кібербезпеки.

Найнебезпечніше в сучасних атаках — не те, що вони складні. А те, що вони масштабовані. ШІ дозволяє хакерам:

  • створювати унікальні варіанти шкідливих PowerShell-скриптів,
  • обходити статичні правила фаєрволів,
  • автоматично змінювати структуру вірусу під середовище жертви,
  • адаптувати алгоритм проникнення під конкретну мережу,
  • маскувати команди під звичайну адміністративну активність.

Вірус Wrecksteel — саме такий приклад. Поліморфний шкідливий код, який постійно змінюється, ускладнює детекцію до рівня «майже неможливо». Сьогодні антивірус бачить один варіант, завтра — інший. ШІ в цьому процесі виступає не просто інструментом генерації тексту. Він реально розуміє структуру скриптів, оптимізує їх та робить більш «чистими» з точки зору аналізу.

Чому антивірус безсилий

Сигнатурна модель захисту працює за принципом: «Я знаю, як виглядає цей вірус. Якщо побачу — заблокую».

Але що робити, коли вірус ніколи не виглядає однаково? Коли кожна нова ітерація Wrecksteel — це новий хеш, нова структура, новий порядок команд?

Більшість антивірусів в таких випадках переходять у режим фіктивної безпеки: система вважає себе захищеною, але не бачить головного — поведінки. Файл може бути безпечним, але дія — ні.

Саме тому захист на основі хешів сьогодні перетворюється на музейний експонат. І це не гіпербола. У нових атаках коду як такого вже немає. Є скрипт, який ШІ перебудовує «на льоту».

Поведінковий аналіз стає новою зброєю SOC

Підписуйтеся на наші соцмережі

Сучасний SOC (Security Operations Center) не читає файли — він спостерігає за поведінкою системи.

Що саме він бачить?

  • Чому PowerShell раптом запускається від імені служби принтера?
  • Для чого веб-сервер створює шифрований тунель у невідомий домен?
  • Чому легітимна утиліта certutil раптом завантажує .ps1-файл?
  • Чому процеси змінюють свої привілеї нетиповим способом?

І це вже не про код, а про сенс. ШІ-хакерство змушує захист відповідати ШІ-захистом.

Сучасні інструменти XDR, SIEM, EDR працюють у моделі:

  • виявлення аномалій,
  • відстеження взаємодій між процесами,
  • аналіз контексту,
  • автоматичний розбір ланцюжків атаки (kill-chain),
  • іноді навіть прогнозування дій зловмисника.

Шкідливий PowerShell може бути невидимим. Але аномальна поведінка сервера — ні.

Чи небезпечні ШІ-атаки для українського бізнесу?

Так, і небезпека не тільки в техніці. ШІ робить атаки масовими, швидкими та дешевими. А там, де атака коштує копійки, зростає її частота.

Особливо вразливими стають:

  • державні установи,
  • великі корпорації,
  • логістичні та енергетичні компанії,
  • бізнеси зі слабкою життєздатністю мережі,
  • організації з застарілими системами,
  • компанії, де немає SOC або EDR.

Wrecksteel — лише одна з перших ластівок, яку ми бачимо завдяки CERT-UA. Але ніхто не сумнівається, що хакери вже експериментують із новими моделями генерації шкідливих скриптів — у тому числі повністю безфайлових.

Що ж робити бізнесу?

Українським компаніям сьогодні потрібна нова модель кіберзахисту, яка складається з трьох принципів:

1. Zero Trust як основа

Нульова довіра до будь-якого процесу, пристрою та користувача. Атака зі сторони? Ні. Атака з середини мережі? Так само ні.

2. EDR/XDR замість антивірусів

Не реагувати на файли. Реагувати на поведінку.

3. SOC як обов’язковий елемент

Безперервний моніторинг — це не розкіш. Це частина цифрової оборони підприємства.

Бізнес, який у 2025 році покладається тільки на антивірус, робить те саме, що й охоронець, який намагається зупинити дрон-камікадзе свистком.

Нова гонка озброєнь: ШІ проти ШІ

Ми стоїмо в точці, де кібервійна стає симетричною: хакери використовують ШІ, і оборона використовує ШІ.

Питання лише в тому, хто робить це швидше. І хто використовує реальні інструменти, а не старі моделі захисту, що залишилися з епохи вірусів на флешках.

CERT-UA вже показує: штучний інтелект у руках зловмисників — це не тимчасовий тренд. Це нова норма. І саме зараз українському бізнесу потрібно перейти на системи, здатні виявляти поведінкові аномалії, а не сигнатури.

#AI #ШІ #SHERIFF #CyberSHERIFF #Wrecksteel #UAC0219 #CERTUA #MachineLearning #Кібербезпека #InfoSec #EDR #XDR #SOC #FutureOfCyber #AIAttacks #CyberDefense #ThreatHunting #SHERIFFCybersecurity #MLSecurity

Інші матеріали

штучний інтелект ШІ Кібербезпека IT SHERIFF Cybersecurity Спільнота
Читати на speka.media