Вайб-хакінг: Як ШІ і Біткоїн допомагають кіберзлочинцям масштабувати атаки

“Вайб-хакінг”: Зловмисники використовують ШІ разом з Біткоїном, стверджує Anthropic

Anthropic опублікувала новий звіт про загрози, який виглядає як погляд у майбутнє кіберзлочинності.

У звіті описується, як погані гравці більше не просто запитують ШІ про поради з кодування, а використовують його для проведення атак у реальному часі — і для цього використовують криптовалюту.

Виділяється випадок, який дослідники називають «вайб-хакінгом». У цій кампанії кіберзлочинець скористався Claude Code від Anthropic — помічником з кодування на природній мові, який працює в терміналі — для проведення масової кампанії примусу проти щонайменше 17 організацій, що охоплюють уряди, медичні заклади та релігійні інституції.

Замість використання класичного програмного забезпечення для викупів зловмисник покладався на Claude, щоб автоматизувати розвідку, збирати облікові дані, проникати в мережі й викрадати чутливі дані. Claude не лише надавав рекомендації; він виконував дії «на клавіатурі», такі як сканування VPN-вузлів, написання нестандартного шкідливого програмного забезпечення та аналіз викрадених даних, щоб визначити, які жертви можуть заплатити найбільше.

Потім прийшов “вимагальний” етап: Claude згенерував індивідуальні HTML-примітки з вимогою викупу, адаптовані для кожної організації з фінансовими цифрами, кількістю працівників та загрозами з боку регуляторів. Вимоги варіювалися від 75 000 до 500 000 доларів у Біткоїні. Один оператор, доповнений ШІ, мав потужність цілої команди хакерів.

Криптовалюта сприяє злочинам, підживлюваним ШІ

Хоча звіт охоплює все — від державного шпигунства до романтичних шахрайств, спільною темою є гроші — і багато з них проходять через крипто-канали. Кампанія «вайб-хакінг» вимагала платежів до 500 000 доларів у Біткоїні, причому примітки з вимогами до викупу авто-генерувалися Claude і містили адреси гаманців та загрози, специфічні для жертви.

Окремий магазин програм-вимагачів, що функціонує як сервіс, продає набори шкідливого програмного забезпечення, створеного за допомогою ШІ, на форумах темного вебу, де криптовалюта є основною валютою. І в більш широкій геополітичній картині шахрайство з використанням ШІ з боку Північної Кореї перетворює мільйони на програми озброєнь режиму, часто відмиваючи їх через крипто-канали.

Іншими словами: ШІ розширює масштаби тих атак, які вже залежать від криптовалюти як для виплат, так і для відмивання, роблячи криптовалюту ще більш тісно пов’язаною з економікою кіберзлочинності, ніж коли-небудь раніше.

Схема з IT-робітниками Північної Кореї, підживлювана ШІ

Ще одне відкриття: Північна Корея глибоко інтегрувала ШІ у свою стратегію ухилення від санкцій. ІТ-оператори режиму отримують підроблені віддалені роботи в західних технічних компаніях, імітуючи технічну компетенцію за допомогою Claude.

Згідно зі звітом, ці працівники практично повністю залежать від ШІ для виконання повсякденних завдань. Claude генерує резюме, пише супровідні листи, відповідає на запитання на співбесідах у реальному часі, налагоджує код і навіть складає професійні електронні листи.

Схема є прибутковою. ФБР оцінює, що ці віддалені наймання вносять сотні мільйонов доларів щорічно назад до програм озброєнь Північної Кореї. Те, що раніше вимагало років навчання в елітних університетах Пхеньяна, тепер можна зімітувати на льоту за допомогою ШІ.

Вимагачі програмного забезпечення на продаж: безкодові, створені за допомогою ШІ

Якщо цього було недостатньо, звіт описує актора з Великобританії (ідентифікований як GTG-5004), який керує магазином безкодових програм-вимагачів. За допомогою Claude оператор продає набори ransomware-as-a-service (RaaS) на форумах темного вебу, таких як Dread і CryptBB.

За всього лише 400 доларів прагнучі злочинці можуть придбати DLL і виконувані файли, які працюють за допомогою шифрування ChaCha20. Повний набір з PHP консоллю, засобами командного управління та методами уникнення аналізу коштує 1 200 доларів. Ці пакети містять трюки, такі як FreshyCalls і RecycledGate, техніки, які зазвичай вимагають просунутого знання внутрішньої роботи Windows для обходу систем виявлення на кінцевих пристроях.

Тривожна частина? Здається, продавець не здатний писати цей код без допомоги ШІ. Звіт Anthropic підкреслює, що ШІ стерло бар`єр навичок — тепер кожен може створити і продати просунуті програми-вимагачі.

Операції, що підтримуються державою: Китай та Північна Корея

Звіт також підкреслює, як державні гравці впроваджують ШІ у свої операції. Китайська група, що націлюється на критичну інфраструктуру В`єтнаму, використовувала Claude у 12 з 14 тактик MITRE ATT&CK — від розвідки до ескалації привілеїв і бічного переміщення. Цільовими об`єктами стали постачальники телекомунікацій, урядові бази даних та аграрні системи.

Окремо Anthropic повідомляє, що автоматично зупинило кампанію зловмисного програмного забезпечення Північної Кореї, пов`язану з infamous “Contagious Interview”. Автоматизовані запобіжники виявили і заборонили акаунти до того, як вони могли розпочати атаки, змусивши групу відмовитися від своєї спроби.

Цепочка шахрайств, підсилена ШІ

Окрім гучних випадків вимагання і шпигунства, звіт описує, як ШІ тихо внутрилає шахрайство у масштабах. Кримінальні форуми пропонують послуги з синтетичної ідентичності та магазини карт, які здатні перевіряти вкрадені кредитні картки через кілька API з рівнем надійності підприємств.

Існує навіть Telegram-бот, який рекламується для романтичних шахрайств, де Claude рекламували як «модель з високим EQ» для створення емоційно маніпулятивних повідомлень. Бот обслуговував кілька мов і налічував понад 10 000 користувачів щомісяця, згідно зі звітом. ШІ не просто пише шкідливий код — воно пише любовні листи жертвам, які не знають, що їх обманюють.

Чому це важливо

Anthropic оформлює ці відкриття як частину своєї більш широкої стратегії прозорості: показати, як їхні моделі були неправильно використані, при цьому ділячись технічними показниками з партнерами, щоб допомогти ширшій екосистемі захищатися від зловживань. Акаунти, пов`язані з цими операціями, були заборонені, а нові класифікатори були впроваджені для виявлення подібних зловживань.

Але найбільш важливим висновком є те, що ШІ кардинально змінює економіку кіберзлочинності. Як різко зазначає звіт, традиційні припущення про зв’язок між складністю актора та складністю атак більше не витримують критики.

Одна людина з правильним ШІ-помічником тепер може імітувати роботу цілої команди хакерів. Програми-вимагачі доступні як підписка SaaS. А ворожі держави впроваджують ШІ у шпигунські кампанії.

Кіберзлочинність вже була прибутковим бізнесом. З ШІ вона стає тривожно масштабованою.