CERT Orange prognozuje, że AI w '26 będzie używane do automatyzacji kolejnych etapów ataków

"Przewidujemy, że narzędzia AI będą wykorzystywane do automatyzacji kolejnych etapów ataków – od rozpoznania aż po eksfiltrację danych AI pozwoli na weryfikację efektów działania i korektę scenariusza ataku. To podejście spowoduje znaczący wzrost szybkości oraz skali ataków. W efekcie spodziewamy się wzrostu liczby dynamicznie modyfikowanych wariantów złośliwego oprogramowania powstających przy wsparciu narzędzi AI" - napisano w raporcie.

Wskazano również, że nową kategorią zagrożeń są ataki wymierzone bezpośrednio w agentów AI – modele działające z dostępem do wewnętrznych danych lub systemów operacyjnych organizacji.

"Problemy pojawiają się na dwóch poziomach: agenci AI z nadmiernymi uprawnieniami oraz ataki na same systemy AI. AI może wspierać przestępców już na etapie rekonesansu: automatycznie analizować wycieki, łączyć rozproszone informacje o użytkownikach i przygotowywać scenariusze z wykorzystaniem MFA phishingu. Ze względu na to, że większość poważnych incydentów wciąż zaczyna się od przejęcia konta pracownika, automatyzacja w tym obszarze istotnie zwiększa skalę zagrożeń"- napisano.

Jak wyjaśniono, rozwój generatywnej sztucznej inteligencji zaczyna wpływać na sposób tworzenia i rozwijania złośliwego oprogramowania.

"Obserwujemy pierwsze przykłady złośliwego oprogramowania, w którym modele AI służą do generowania fragmentów kodu podczas ich działania lub podejmowania decyzji jakie kroki w infekcji należy dalej podjąć" - napisano.

"Jednocześnie narzędzia oparte na LLM są coraz częściej wykorzystywane przez cyberprzestępców do tworzenia stron oraz wiadomości phishingowych, przygotowywania exploitów oraz dynamicznego modyfikowania istniejącego malware w celu uniknięcia detekcji" - dodano.

W raporcie wskazano również, że wykorzystywanie AI przez mało doświadczonych programistów do generowania kodu (w tym serwisów internetowych) może przyczyniać się do powstawania kodu niskiej jakości, zawierającego błędy i w końcowym rezultacie podatnego na ataki.

"AI zmienia cyberbezpieczeństwo we wszystkich jego wymiarach: technologicznym, organizacyjnym i społecznym. Stała się zarówno narzędziem, jak i celem ataków. Kluczowe dla organizacji są dziś: wprowadzanie rygorystycznych zasad użycia AI, kontrola uprawnień agentów i automatyzacji, monitorowanie środowisk chmurowych, edukacja pracowników z naciskiem na wycieki i socjotechnikę" - wskazano.

Z raportu wynika również, że technologie wykorzystywane przez cyberprzestępców w kampaniach oszustw reklamowych rozwijają się w tempie, jakie jeszcze kilka lat temu byłoby trudne do przewidzenia. Autorzy wskazują, że Deepfake’i będą dalej tanieć i zyskiwać na jakości, a fałszywe materiały wideo i audio z wizerunkami znanych osób z każdym miesiącem stają się trudniejsze do odróżnienia od oryginałów.

"Co istotne, przestępcy nie potrzebują przełomowych wynalazków: wystarczy im sprawne łączenie tego, co już mają – rotacja kont i domen, kosmetyczne zmiany w kreacjach, systematyczne testowanie granic moderacji. Skala ruchu reklamowego na platformach społecznościowych sprawia, że skuteczne filtrowanie wszystkich oszukańczych treści pozostaje ogromnym wyzwaniem, a scam reklamowy wciąż będzie jednym z najtańszych kanałów dotarcia do ofiar" - wskazano.

Dodano, że dodatkowym akceleratorem jest automatyzacja całego łańcucha – od generowania grafik, wideo i tekstów z użyciem AI po zakładanie kont reklamowych i zarządzanie nimi – która pozwala skalować operacje przy marginalnym wzroście kosztów i ryzyka wykrycia.

Wskazano również, że mobilne, złośliwe oprogramowanie przechodzi wyraźną transformację – od relatywnie prostych aplikacji realizujących pojedyncze funkcje (np. przechwytywanie SMS czy danych logowania) w kierunku rozbudowanych narzędzi typu Remote Access Trojan (RAT), zapewniających operatorowi niemal pełną kontrolę nad urządzeniem.

"Współczesne próbki coraz częściej oferują funkcje zdalnej administracji, takie jak: sterowanie interfejsem użytkownika, przechwytywanie obrazu ekranu, dostęp do mikrofonu czy systemu plików. Równocześnie obserwowany jest trend polegający na wykorzystywaniu legalnych usług i infrastruktury chmurowej jako kanałów komunikacji, m.in. mechanizmów powiadomień push takich, jak Firebase Cloud Messaging, czy narzędzi tunelowania i reverse proxy. Pozwala to ukrywać komunikację z infrastrukturą sterującą w ruchu generowanym przez powszechnie wykorzystywane usługi mobilne, znacząco utrudniając jej wykrycie i blokowanie" - wskazano.

Raport wskazuje również na intensyfikację ataków na środowiska chmurowe – rośnie liczba incydentów wykorzystujących błędne konfiguracje oraz skompromitowane poświadczenia do przejmowania dostępu do zasobów chmurowych.

"W praktyce prowadzi to do poważnych konsekwencji, takich jak masowa eksfiltracja danych, wycieki informacji klientów czy nadużycia infrastruktury do celów obliczeniowych (np. uruchamianie koparek kryptowalut). Przejęcie środowiska chmurowego daje napastnikom szeroki dostęp do danych i usług, często przy ograniczonej widoczności ich aktywności, co znacząco utrudnia szybkie wykrycie incydentu" - napisano.

W raporcie wskazano również, że ataki na łańcuch dostaw pozostają jednym z najbardziej efektywnych sposobów uzyskania dostępu do wielu organizacji jednocześnie i mogą stanowić duże wyzwanie z zakresu cyberobronności w 2026 roku.

"Rosnąca liczba zależności między dostawcami usług cyfrowych sprawia, że ataki na łańcuch dostaw pozostają jednym z głównych zagrożeń. Narzędzia wspierane przez AI dramatycznie skrócą czas realizacji ataków, umożliwią automatyczną identyfikację ujawnionych kluczy OAuth, podatnych dostawców i błędnie skonfigurowanych integracji" - wskazano.

Autorzy raportu zwracają również uwagę na konflikty geopolityczne, które pozostają jednym z kluczowych czynników kształtujących aktywność w cyberprzestrzeni. Jak wskazano, szczególnie widoczna jest intensyfikacja działań związanych z wojną rosyjsko-ukraińską oraz konfliktami na Bliskim Wschodzie, gdzie obserwuje się zarówno operacje sabotażowe, jak i długotrwałe kampanie cyberszpiegowskie prowadzone przez grupy powiązane z państwami.

"W działania te angażują się także środowiska haktywistyczne, które prowadzą ataki DDoS, defacementy czy publikację wykradzionych danych. W kontekście tych konfliktów kinetycznych sponsorowani przez państwa aktorzy zagrożeń wykorzystują zdolności cybernetyczne przede wszystkim w roli wsparcia – np. w celu uzyskania wglądu w działania rządowych i wojskowych podmiotów docelowych, wspierania wysiłku wojennego lub wzmacniania operacji informacyjnych oraz dezinformacyjnych. Koordynacja domen kinetycznej i cyber jako norma operacyjna to zmiana strukturalna, nie incydentalna. Każda kolejna eskalacja zbrojna będzie teraz domyślnie zawierała komponent cybernetyczny – zarówno po stronie atakujących, jak i w ramach obrony" - wskazano.

Ponadto autorzy raportu zauważyli, że system macOS (podstawowy OS komputerów Apple) staje się coraz częstszym celem cyberprzestępców.

"W ostatnich latach zidentyfikowano nowe rodziny malware przeznaczone dla tego systemu, w tym stealery, takie jak Atomic macOS Stealer (AMOS) czy MacSync, które umożliwiają kradzież danych uwierzytelniających, informacji zapisanych w przeglądarkach oraz portfeli kryptowalut" - napisano.

"Kampanie dystrybucji tego typu malware często wykorzystują socjotechnikę, w tym podszywanie się pod legalne aplikacje lub narzędzia związane z AI oraz rozpowszechnianie złośliwych instalatorów w formacie DMG. W części kampanii obserwowano także wykorzystanie złośliwych reklam w wyszukiwarkach lub fałszywych stron pobierania oprogramowania. Rosnąca liczba takich operacji wskazuje, że ekosystem macOS przestaje być postrzegany przez cyberprzestępców jako niszowy cel" - dodano.

W samym 2025 roku wśród trzech głównych zagrożeń wg CERT-u Orange był phishing, który odpowiadał za 47,5 proc. zidentyfikowanych zagrożeń przez jednostkę. 15,8 proc stanowiły ataki DDoS, a 13,3 proc. dotyczyło złośliwego oprogramowania.

CERT Orange w 2025 roku zablokował 345 tys. domen phishingowych. (PAP Biznes)

mcb/ ana/