Uwaga na PromptLock. To ransomware, który używa AI

Firma ESET ogłosiła odkrycie pierwszego znanego ransomware zasilanego przez sztuczną inteligencję. Nazwano je PromptLock, to złośliwe oprogramowanie wykorzystuje model językowy opracowany przez OpenAI do generowania skryptów, które mogą działać na systemach Windows, macOS i Linux, jednocześnie unikając narzędzi obronnych dzięki zmiennemu zachowaniu.

PromptLock wykorzystuje skrypty Lua generowane z zakodowanych poleceń do przeszukiwania lokalnego systemu plików, inspekcji plików docelowych, eksfiltracji wybranych danych oraz ich szyfrowania. ESET w poście na Mastodonie wyjaśnił, że "na podstawie wykrytych plików użytkownika, malware może eksfiltrować dane, szyfrować je lub potencjalnie niszczyć, choć funkcja niszczenia nie została jeszcze zaimplementowana".

Lua, choć znana głównie z tworzenia gier w Robloxie czy wtyczek do edytora tekstu NeoVim, jest językiem ogólnego przeznaczenia, oferującym dobre osiągi, wsparcie dla wielu platform i prostotę, co czyni go atrakcyjnym dla twórców ransomware.

Dalsza część artykułu pod materiałem wideo

Modele językowe są niedeterministyczne, co oznacza, że ich wyniki mogą się różnić nawet przy identycznych danych wejściowych. To utrudnia narzędziom obronnym identyfikację wzorców zachowań związanych z malware. PromptLock korzysta z modelu gpt-oss:20b od OpenAI lokalnie za pośrednictwem API Ollama, co pozwala na generowanie złośliwych skryptów Lua na bieżąco i unikanie wykrycia.

Dzięki lokalnemu działaniu modelu, OpenAI nie może monitorować działań operatorów ransomware, co byłoby możliwe, gdyby skrypty były generowane za pomocą zewnętrznego API. PromptLock pokazuje, że AI, mimo kontrowersji i wyzwań prawnych, znajduje zastosowanie nawet wśród cyberprzestępców.