Логотип Шериф

0 800 309 114

Ukr

0 800 309 114

Хакери переходять на ШІ: що це означає для безпеки бізнесу України

Хакери переходять на ШІ. Що це означає для безпеки українського бізнесу

Чому хакери переходять на ШІ?

Кілька років тому штучний інтелект був інструментом інноваторів, дослідників і компаній, які створювали щось нове. У 2025 році він став ще й зброєю. CERT-UA у своєму останньому звіті зафіксувала: російське кіберугруповання UAC-0219 вже використовує ШІ для генерації шкідливих скриптів. Це більше не футурологія, а реальність.

Група створює вірус Wrecksteel, який змінює форму щоразу, коли запускається. Такий підхід зводить нанівець класичний захист, який покладається на сигнатури - хеші, відбитки файлів, відомі ознаки загроз. Якщо раніше хакеру треба було сидіти годинами, вручну переписуючи код, тепер ШІ здатен робити це автоматично: сотні, тисячі, мільйони разів. І саме це робить нову хвилю атак небезпечною та майже невидимою.

Як працюють ШІ-атаки: поліморфізм на стероїдах

Найнебезпечніше в сучасних атаках - не те, що вони складні. А те, що вони масштабовані.

ШІ дозволяє хакерам:

  • створювати унікальні варіанти шкідливих PowerShell-скриптів,
  • обходити статичні правила фаєрволів,
  • автоматично змінювати структуру вірусу під середовище жертви,
  • адаптувати алгоритм проникнення під конкретну мережу,
  • маскувати команди під звичайну адміністративну активність.

Вірус Wrecksteel - саме такий приклад. Поліморфний шкідливий код, який постійно змінюється, ускладнює детекцію до рівня «майже неможливо». Сьогодні антивірус бачить один варіант, завтра - інший.

ШІ в цьому процесі виступає не просто інструментом генерації тексту. Він реально розуміє структуру скриптів, оптимізує їх та робить більш «чистими» з точки зору аналізу.

Чому антивірус безсилий

Сигнатурна модель захисту працює за принципом:

«Я знаю, як виглядає цей вірус. Якщо побачу - заблокую».

Але що робити, коли вірус ніколи не виглядає однаково? Коли кожна нова ітерація Wrecksteel - це новий хеш, нова структура, новий порядок команд? Більшість антивірусів в таких випадках переходять у режим фіктивної безпеки: система вважає себе захищеною, але не бачить головного - поведінки. Файл може бути безпечним, але дія - ні. Саме тому захист на основі хешів сьогодні перетворюється на музейний експонат. І це не гіпербола. У нових атаках коду як такого вже немає. Є скрипт, який ШІ перебудовує «на льоту».

Поведінковий аналіз стає новою зброєю SOC

Сучасний SOC (Security Operations Center) не читає файли - він спостерігає за поведінкою системи.

Що саме він бачить?

  • Чому PowerShell раптом запускається від імені служби принтера?
  • Для чого веб-сервер створює шифрований тунель у невідомий домен?
  • Чому легітимна утиліта certutil раптом завантажує .ps1-файл?
  • Чому процеси змінюють свої привілеї нетиповим способом?

І це вже не про код, а про сенс. ШІ-хакерство змушує захист відповідати ШІ-захистом. Сучасні інструменти XDR, SIEM, EDR працюють у моделі:

  • виявлення аномалій,
  • відстеження взаємодій між процесами,
  • аналіз контексту,
  • автоматичний розбір ланцюжків атаки (kill-chain),
  • іноді навіть прогнозування дій зловмисника.

Шкідливий PowerShell може бути невидимим. Але аномальна поведінка сервера - ні.

Чи небезпечні ШІ-атаки для українського бізнесу?

Так, і небезпека не тільки в техніці. ШІ робить атаки масовими, швидкими та дешевими. А там, де атака коштує копійки, зростає її частота. Особливо вразливими стають:

  • державні установи,
  • великі корпорації,
  • логістичні та енергетичні компанії,
  • бізнеси зі слабкою життєздатністю мережі,
  • організації з застарілими системами,
  • компанії, де немає SOC або EDR.

Wrecksteel - лише одна з перших ластівок, яку ми бачимо завдяки CERT-UA. Але ніхто не сумнівається, що хакери вже експериментують із новими моделями генерації шкідливих скриптів - у тому числі повністю безфайлових.

Що робити бізнесу?

Українським компаніям сьогодні потрібна нова модель кіберзахисту, яка складається з трьох принципів:

1. Zero Trust як основа

Нульова довіра до будь-якого процесу, пристрою та користувача. Атака зі сторони? Ні. Атака з середини мережі? Так само ні.

2. EDR/XDR замість антивірусів

Не реагувати на файли. Реагувати на поведінку.

3. SOC як обов’язковий елемент

Безперервний моніторинг - це не розкіш. Це частина цифрової оборони підприємства. Бізнес, який у 2025 році покладається тільки на антивірус, робить те саме, що й охоронець, який намагається зупинити дрон-камікадзе свистком.

Нова гонка озброєнь: ШІ проти ШІ

Ми стоїмо в точці, де кібервійна стає симетричною: хакери використовують ШІ, і оборона використовує ШІ. Питання лише в тому, хто робить це швидше. І хто використовує реальні інструменти, а не старі моделі захисту, що залишилися з епохи вірусів на флешках. CERT-UA вже показує: штучний інтелект у руках зловмисників - це не тимчасовий тренд. Це нова норма. І саме зараз українському бізнесу потрібно перейти на системи, здатні виявляти поведінкові аномалії, а не сигнатури.