Хакери переходять на ШІ. Що це означає для безпеки українського бізнесу

Чому хакери переходять на ШІ?

Кілька років тому штучний інтелект був інструментом інноваторів, дослідників і компаній, які створювали щось нове. У 2025 році він став ще й зброєю. CERT-UA у своєму останньому звіті зафіксувала: російське кіберугруповання UAC-0219 вже використовує ШІ для генерації шкідливих скриптів. Це більше не футурологія, а реальність.

Група створює вірус Wrecksteel, який змінює форму щоразу, коли запускається. Такий підхід зводить нанівець класичний захист, який покладається на сигнатури - хеші, відбитки файлів, відомі ознаки загроз. Якщо раніше хакеру треба було сидіти годинами, вручну переписуючи код, тепер ШІ здатен робити це автоматично: сотні, тисячі, мільйони разів. І саме це робить нову хвилю атак небезпечною та майже невидимою.

Як працюють ШІ-атаки: поліморфізм на стероїдах

Найнебезпечніше в сучасних атаках - не те, що вони складні. А те, що вони масштабовані.

ШІ дозволяє хакерам:

• створювати унікальні варіанти шкідливих PowerShell-скриптів,
• обходити статичні правила фаєрволів,
• автоматично змінювати структуру вірусу під середовище жертви,
• адаптувати алгоритм проникнення під конкретну мережу,
• маскувати команди під звичайну адміністративну активність.

Вірус Wrecksteel - саме такий приклад. Поліморфний шкідливий код, який постійно змінюється, ускладнює детекцію до рівня «майже неможливо». Сьогодні антивірус бачить один варіант, завтра - інший.

ШІ в цьому процесі виступає не просто інструментом генерації тексту. Він реально розуміє структуру скриптів, оптимізує їх та робить більш «чистими» з точки зору аналізу.

Чому антивірус безсилий

Сигнатурна модель захисту працює за принципом:

«Я знаю, як виглядає цей вірус. Якщо побачу - заблокую».

Але що робити, коли вірус ніколи не виглядає однаково? Коли кожна нова ітерація Wrecksteel - це новий хеш, нова структура, новий порядок команд? Більшість антивірусів в таких випадках переходять у режим фіктивної безпеки: система вважає себе захищеною, але не бачить головного - поведінки. Файл може бути безпечним, але дія - ні. Саме тому захист на основі хешів сьогодні перетворюється на музейний експонат. І це не гіпербола. У нових атаках коду як такого вже немає. Є скрипт, який ШІ перебудовує «на льоту».

Поведінковий аналіз стає новою зброєю SOC

Сучасний SOC (Security Operations Center) не читає файли - він спостерігає за поведінкою системи.

Що саме він бачить?

• Чому PowerShell раптом запускається від імені служби принтера?
• Для чого веб-сервер створює шифрований тунель у невідомий домен?
• Чому легітимна утиліта certutil раптом завантажує .ps1-файл?
• Чому процеси змінюють свої привілеї нетиповим способом?

І це вже не про код, а про сенс. ШІ-хакерство змушує захист відповідати ШІ-захистом. Сучасні інструменти XDR, SIEM, EDR працюють у моделі:

• виявлення аномалій,
• відстеження взаємодій між процесами,
• аналіз контексту,
• автоматичний розбір ланцюжків атаки (kill-chain),
• іноді навіть прогнозування дій зловмисника.

Шкідливий PowerShell може бути невидимим. Але аномальна поведінка сервера - ні.

Чи небезпечні ШІ-атаки для українського бізнесу?

Так, і небезпека не тільки в техніці. ШІ робить атаки масовими, швидкими та дешевими. А там, де атака коштує копійки, зростає її частота. Особливо вразливими стають:

• державні установи,
• великі корпорації,
• логістичні та енергетичні компанії,
• бізнеси зі слабкою життєздатністю мережі,
• організації з застарілими системами,
• компанії, де немає SOC або EDR.

Wrecksteel - лише одна з перших ластівок, яку ми бачимо завдяки CERT-UA. Але ніхто не сумнівається, що хакери вже експериментують із новими моделями генерації шкідливих скриптів - у тому числі повністю безфайлових.

Що робити бізнесу?

Українським компаніям сьогодні потрібна нова модель кіберзахисту, яка складається з трьох принципів:

1. Zero Trust як основа

Нульова довіра до будь-якого процесу, пристрою та користувача. Атака зі сторони? Ні. Атака з середини мережі? Так само ні.

‍2. EDR/XDR замість антивірусів

Не реагувати на файли. Реагувати на поведінку.

3. SOC як обов’язковий елемент

Безперервний моніторинг - це не розкіш. Це частина цифрової оборони підприємства. Бізнес, який у 2025 році покладається тільки на антивірус, робить те саме, що й охоронець, який намагається зупинити дрон-камікадзе свистком.

Нова гонка озброєнь: ШІ проти ШІ

Ми стоїмо в точці, де кібервійна стає симетричною: хакери використовують ШІ, і оборона використовує ШІ. Питання лише в тому, хто робить це швидше. І хто використовує реальні інструменти, а не старі моделі захисту, що залишилися з епохи вірусів на флешках. CERT-UA вже показує: штучний інтелект у руках зловмисників - це не тимчасовий тренд. Це нова норма. І саме зараз українському бізнесу потрібно перейти на системи, здатні виявляти поведінкові аномалії, а не сигнатури.