Прежде чем занять должность старшего вице-президента Центра исследований программ-вымогателей Halcyon, Синтия Кайзер 20 лет проработала в Федеральном бюро расследований (ФБР), где дослужилась до должности заместителя помощника директора отдела кибербезопасности агентства. На проходящей в этом году в выставочном центре Excel в Лондоне конференции Infosecurity Europe Кайзер выступила с основным докладом об эволюции программ-вымогателей. Картина, которую она нарисовала относительно текущих возможностей злоумышленников в даркнете, была мрачной. Обстановка такова: общеизвестно, что с ростом сетевой связанности у хакеров появилось больше возможностей, чем когда-либо, для использования уязвимостей и нанесения реального ущерба. Кайзер заявила, что киберугрозы стали главной угрозой национальной безопасности. Кибератаки перестали быть уделом колонок о технологиях и теперь попадают на первые полосы газет. Кайзер привела в пример случай, когда северокорейские злоумышленники, как полагают, взломали Sony в ответ на выпуск фильма «Интервью», а также российские хакерские атаки с целью вмешательства в выборы и влияния на геополитику. Она отметила, что с 2023 года наблюдается рост кибератак на малые и средние предприятия (МСП) на 20%, причем вероятность их атаки теперь в четыре раза выше, чем на крупные организации. Технологии, лежащие в основе кибератак, усовершенствовались: типичная кибератака теперь занимает всего четыре часа. По словам Кайзер, некоторые хакерские группировки теперь работают как обычные компании, имея линии обслуживания клиентов и собственные бренды. Аналогичным образом, подпольные форумы стали больше похожи на потребительские платформы, где продаются учетные данные, предоставляющие доступ к скомпрометированным сетям. Эти форумы составляют 60% всей активности в даркнете. Таким образом, хакерским группировкам больше не нужно создавать свои сервисы с нуля, поскольку инфраструктуру можно купить на форумах даркнета.
Взрыв инструментов ИИ
Недавнее значительное изменение в активности даркнета связано с использованием ИИ. Кайзер отметила, что до этого года на форумах даркнета практически не упоминались хакерские инструменты на базе ИИ. Затем произошел взрыв инструментов ИИ. Количество сообщений об ИИ на форумах даркнета выросло с 38 в декабре 2025 года до почти 1500 в феврале 2026 года. Кайзер пояснила, что эти хакерские инструменты на базе ИИ — это «вооруженные» большие языковые модели (LLM) — инструменты ИИ, у которых сняты ограничения безопасности, что позволяет хакерам использовать их в злонамеренных целях. «Вооруженные» LLM обычно представлены в виде версий атакующих ИИ-систем для помощи преступникам. Лидером рынка «вооруженных» LLM является WormGPT, который впервые появился в 2023 году. Хотя оригинал был закрыт через несколько недель после того, как были установлены личности создателей, это название стало брендом, и теперь несколько поставщиков выпускают разные версии кода WormGPT. «Официальный» канал Telegram для WormGPT, насчитывающий теперь более 15 000 участников, недавно объявил, что последняя версия (Kriminal.AI) будет бесплатной. Кайзер отметила, что мошенничество с личными данными является одним из основных применений «вооруженных» инструментов ИИ, поскольку методы социальной инженерии могут быть усилены с помощью голосов, клонированных ИИ. Уровень успеха этих дипфейков превышает 90%, и их можно сгенерировать всего по трем секундам аудио. Мошенничество с личными данными с помощью ИИ также может включать подделку документов и дипфейк-видео. Типичное дипфейк-видео теперь стоит около 800 долларов США (около 600 фунтов стерлингов), при этом поставщики также предлагают сезонные акционные скидки. ИИ может использоваться для усиления вредоносного ПО для атак на инфраструктуру. Инструменты ИИ смогли имитировать телефонные звонки из колл-центров, с соответствующим фоновым шумом и звуками набора текста на клавиатуре. Эти ИИ-симулированные колл-центры обучены на более чем 150 000 звонков клиентов и могут работать более чем на 25 языках. Они взимают до 7 долларов США (чуть более 5 фунтов стерлингов) за тысячу звонков и заявляют о возможности поддерживать до 120 одновременных вызовов. Кайзер отметила, что взломанные и украденные сервисы ИИ также доступны для покупки в Интернете, с активными ветками на нескольких хакерских форумах, которые служат живыми репозиториями. Широкий спектр предложений на форумах даркнета в сочетании с их конкурентоспособными ценами означает отсутствие финансового барьера для входа. Кайзер подчеркнула, как WormGPT использует модель freemium: основная технология бесплатна для использования, но за расширенные функции нужно платить. Кайзер объяснила, как более крупные поставщики даркнета автоматизируют витрины и распространение своих услуг. Платформы также становятся все более совершенными, с мерами избыточности, обеспечивающими выживание при сбоях. По словам Кайзер, операторы даркнета, похоже, придерживаются двухфазного шаблона. Разрабатываются и тестируются новые технологии даркнета, и как только инструмент подтвержден, он передается в каналы Telegram для более широкого распространения. Эти форумы питают сервис, и каждый канал спроектирован так, чтобы поддерживать другой. Самая большая уязвимость, с которой сталкиваются операторы даркнета, — это не правоохранительные органы, а они сами, поскольку инструменты ИИ теперь нацелены на конкурентов на рынке. Следовательно, люди, которые платят за киберпреступления, рискуют тем, что их собственные данные будут опубликованы в сети. По сути, у криминального рынка ИИ есть внутренняя проблема угроз.
Эффективная защита все еще возможна
Кайзер подчеркнула, что, несмотря на значительный риск, исходящий от хакерских группировок, мы все еще можем защититься от этих инструментов, но нам необходимо быстро адаптироваться, чтобы защититься от риска тех, кто стремится использовать технологии. Она объяснила некоторые из наиболее эффективных методов. Предотвращение первоначального доступа остается основной защитой от кибератак: если хакеры не могут проникнуть внутрь, данные остаются в безопасности. Кайзер рекомендует многофакторную аутентификацию (MFA), устойчивую к фишингу, и ускоренное применение исправлений, а также подготовку персонала к голосовым вызовам, сгенерированным ИИ, выдающим себя за партнеров, руководителей и сотрудников. Однако, учитывая многогранные киберугрозы, с которыми сталкиваются организации, вопрос стоит не в том, произойдет ли кибератака, а в том, когда она произойдет. С учетом этого Кайзер отметила, что обнаружение бокового перемещения в сети, например, с помощью инструментов сетевого мониторинга и установки базовых поведенческих моделей ожидаемого поведения пользователей, жизненно важно для оповещения групп безопасности о потенциальных угрозах в сетях, с особым акцентом на телеметрию конечных точек и сети. Установка минимальных пользовательских привилегий и обеспечение того, чтобы учетные данные пользователей имели доступ только к необходимым областям (особенно при смене ролей пользователей в организации), также помогает. Предотвращение эксфильтрации и шифрования данных также имеет решающее значение, по словам Кайзер, что можно сделать путем обнаружения аномального поведения пользователей и несанкционированных попыток шифрования, а также мониторинга исходящего трафика на предмет конфиденциальной информации. Неизменяемые резервные копии данных также гарантируют, что в случае наихудшего сценария и компрометации данных система может быть восстановлена из безопасного состояния. Все эти технологии создают устойчивость сети для противодействия злонамеренным злоумышленникам и предотвращения компрометации данных. Кайзер также подчеркнула, как настольные учения могут использоваться для моделирования различных наихудших сценариев, позволяя организациям разрабатывать политики для таких инцидентов. Это помогает персоналу понять, что нужно делать — или, по крайней мере, куда смотреть. По сути, необходим подход многоуровневой защиты кибербезопасности с множеством перекрывающихся уровней мер контроля безопасности в сети. Таким образом, даже если один механизм скомпрометирован или взломан, существуют меры избыточности, замедляющие злоумышленников, сдерживающие угрозу и защищающие ценные данные. Учитывая недавние разработки в области клонирования голоса с помощью ИИ, Кайзер рекомендовала группам безопасности переориентироваться на телефонные звонки как на основной вектор угроз. ИИ сделал голосовые вызовы все более масштабируемыми, позволяя автоматизировать звонки сотням людей без необходимости в колл-центре. Хотя злоумышленники внедряют инструменты ИИ, команды кибербезопасности могут ответить автоматизацией систем обнаружения и идентификации, чтобы сети могли реагировать на вторжения быстрее и эффективнее. Кайзер также рекомендует нам как обществу работать сообща, чтобы противостоять росту киберпреступности. Последний пункт — это не техническая проблема, а проблема политики и партнерства, поскольку правительства должны способствовать обмену информацией между организациями и службами безопасности о возникающих киберугрозах, чтобы группы безопасности могли разрабатывать эффективную защиту от них. В конечном счете, распространение инструментов ИИ на форумах даркнета сделало взлом проще и доступнее. Теперь это уже не сфера деятельности крупномасштабных преступных операций или хакерских групп, спонсируемых государством, а любого, у кого есть разумный бюджет. Однако разведданные из даркнета показывают, что киберпреступники уязвимы к использованию их собственных технологий против них самих. Более того, рейды правоохранительных органов и финансовое вмешательство могут быть эффективными, но врожденные меры избыточности платформ даркнета обеспечивают им некоторую устойчивость к этому. Таким образом, необходимо больше сотрудничества между службами безопасности и организациями, чтобы противостоять возникающим угрозам.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Peter Ray Allison
