Рост кибератак на бизнес и пользователей: хакеры активнее используют ИИ

Правда ли, что сегодня все чаще происходят атаки, при которых хакеры шифруют ИТ-инфраструктуру или выводят из строя критически важные сервисы? Чем это вызвано и к каким последствиям для компаний это приводит?

Да, с каждым годом атаки на российские организации становятся все более разрушительными — целями атакующих являются нанесение максимального вреда путем уничтожения данных, вывода из строя инфраструктуры и остановки бизнес-процессов, а также шантаж, кража данных и кибершпионаж. Для пострадавших компаний результатами таких атак становятся материальные убытки, репутационный ущерб, отток клиентов, временная невозможность ведения бизнеса в прежнем режиме, а в случае особо серьезных атак с уничтожением данных и резервных копий существует риск банкротства.

Злоумышленники также используют схемы двойного и тройного вымогательства — например, требуют у организации выкуп за расшифрование данных и за их неразглашение, а затем вымогают деньги от клиентов компании, чьи данные оказались в утечке. Данная деструктивная направленность атак стала превалировать с весны 2022 года и связана с тем, что отдельные недружественные страны активно проводят кибероперации с целью подрыва российской экономики и социальной стабильности, а вредоносная активность в киберпространстве может предварять различные агрессивные действия в реальном мире — сейчас все чаще конфликтующие стороны стремятся удаленно вывести из строя связь, энергетику, водоснабжение противника непосредственно перед проведением активных боевых действий.

При этом эксперты отмечают рост атак через подрядчиков и поставщиков IT-услуг. Почему этот путь стал особенно привлекательным для злоумышленников?

Вместо того, чтобы взламывать хорошо защищенные инфраструктуры крупных организаций, злоумышленники предпочитают атаковать подрядчиков — поставщиков ИТ-продуктов и услуг. Подобные атаки, действительно, на пике популярности по причине того, что в случае успешной реализации хакеры смогут распространить вредоносный код на множество заказчиков и потребителей скомпрометированных IT-продуктов и масштабировать атаку. Кроме того, успешная компрометация облачных провайдеров, ЦОДов, телеком-операторов также позволяет нападающим причинить серьезный ущерб множеству частных и корпоративных пользователей из-за перерывов в предоставлении услуг.

Данный тренд пока только нарастает, а для его изменения компании должны тщательно контролировать степень своей зависимости от подрядчиков и поставщиков различных услуг, оценивать их уровень киберзащиты и контролировать их действия в своей инфраструктуре.

Как понять, что в системе работает именно ИИ-вредонос, а не обычный вирус? По каким признакам его можно выявить, и чем он технически отличается от традиционных угроз?

Последствия атак с использованием ИИ-вирусов не отличаются от классических кибератак — это кража информации (включая персональные данные и документы), хищение денежных средств и криптовалюты, шифрование данных и требование выкупа за расшифровку. Вирусы с использованием ИИ только начинают появляться, пока что гораздо чаще атакующие используют ИИ для создания фишинговых сообщений и дипфейков. Однако конечному пользователю будет трудно отличить вредоносные действия классических вирусов от работы ИИ-вирусов — они работают незаметно и практически ничем не проявляют себя на взломанном устройстве до момента нанесения ущерба (например, уничтожения или шифрования данных).

Вирусы с ИИ обращаются по API к различным общедоступным ИИ-сервисам, включая Hugging Face (платформа открытых ML-моделей), Google Gemini или ChatGPT, для генерации вредоносного кода «на лету». При этом для доступа к таким сервисам злоумышленниками зачастую используются API-ключи, либо украденные у добропорядочных пользователей, либо купленные на ранее похищенные деньги. Подобные ИИ-вирусы пока что редко обнаруживаются антивирусными решениями, поскольку не содержат вредоносного содержимого — лишь ряд текстовых запросов-промптов к ИИ-сервисам, которые маскируются под безобидные действия для обхода встроенных ограничений безопасности ML-моделей.

Насколько готова отечественная антивирусная индустрия к угрозам на основе ИИ? Почему компании стали быстрее замечать атаки?

Атаки с использованием ИИ проходят классические стадии — доставка вредоноса (например, через фишинг и социальную инженерию), первичная компрометация устройства, повышение привилегий, закрепление в системе, горизонтальное перемещение и нанесение запланированного ущерба (кибершпионаж, вымогательство, уничтожение данных и т.д.). Несмотря на то, что сами по себе ИИ-вирусы не содержат подозрительных компонентов, а всего лишь несколько промптов к внешним ИИ-сервисам, общая картина атаки остается неизменной. Именно по косвенным признакам и последовательности шагов, выполняемых подозрительной программой, современные защитные решения классов EDR/XDR/SOAR выявляют даже неизвестные вирусы.

Печальный опыт противодействия кибератакам и восстановления после киберинцидентов способствует повышению зрелости и накоплению опыта российскими компаниями. В результате, к кибербезопасности руководство организаций теперь относится намного серьезнее, чем еще 5-7 лет назад — выделяются бюджеты на защитные решения, нанимаются и удерживаются профильные специалисты, вводятся и соблюдаются правила ИБ. Оперативному выявлению кибератак способствует применение таких защитных решений, как EDR, XDR, SIEM, SOAR, TIP — они позволяют автоматизировать обнаружение вредоносной активности, вовремя ее локализовать и устранить, провести тщательное расследование и устранить первопричины киберинцидента — например, установить обновления безопасности или отключить уязвимый компонент. Кроме того, все большую осведомленность в вопросах кибербезопасности демонстрируют не только руководители, но и рядовые сотрудники российских организаций — здесь сыграли свою роль внутрикорпоративные тренинги и обучающие занятия по ИБ, а также популяризация тематики защиты от киберугроз и кибермошенничества в СМИ.

Почему некоторые хакеры остаются в системах годами, несмотря на растущую зрелость кибербезопасности?

Среднее время незаметного присутствия атакующих в инфраструктуре составляет, по различным мировым данным, около 10 дней. При этом для хорошо спланированных сложных киберопераций, проводимых APT-группировками, такой срок может составлять сотни дней. Приведенный пример в 3,5 года, к сожалению, не удивляет — многие организации реагируют только на очевидные инциденты (например, вирус-шифровальщики или DDoS-атаки), но не замечают действий профессиональных кибершпионов, которые проводят максимально скрытые кибероперации и годами незаметно присутствуют в скомпрометированной инфраструктуре, постепенно проникая во все бизнес-процессы компании и незаметно похищая особо ценные документы.

Если перед хакерами, спонсируемыми правительством некоторой недружественной страны, поставлена задача кибершпионажа в отношении, скажем, важного государственного учреждения или научного института, то на реализацию такой атаки могут быть выделены существенные ресурсы — вплоть до разработки уникального вируса-эксплойта для неизвестной никому уязвимости. Кроме того, современные ИИ-системы уже активно используются атакующими, позволяя им быстро создавать вредоносные программы и фишинговые письма, искать уязвимости и проводить многие этапы кибератак в автономном режиме. Компании, заботящиеся о своей кибербезопасности, могут также применять технологии ИИ для выявления незаметных взломов за счет выявления аномалий поведения пользователей и сущностей в инфраструктуре.

Как обычным пользователям защититься от ИИ-вирусов дома и на работе?

Причины заражения ИИ-вирусами сходны с классическими вредоносами — в большинстве случаев вирусы маскируются под известные программы и распространяются через фишинговые сообщения, через ссылки в электронной почте или мессенджерах, через злонамеренное продвижение вредоносных сайтов с вирусами в поисковой выдаче. Даже если антивирусная программа не показывает наличие угрозы в скачанном файле, пользователям следует проверить источник информации — кто вам прислал ссылку на этот файл, откуда вы его скачали. Также можно обратить внимание на наличие цифровой подписи файла и загрузить подозрительную программу в общедоступные антивирусные сервисы для проверки (например, в «песочницу» VirusTotal).