Odkrycie ESET: Pierwsze ransomware oparte na AI

ESET Research odkrył nowe zagrożenie o nazwie PromptLock - to nietypowe złośliwe oprogramowanie typu ransomware, które wykorzystuje sztuczną inteligencję do atakowania komputerów.

Działa ono w ten sposób, że uruchamia na zainfekowanym urządzeniu specjalny program AI, który na bieżąco tworzy złośliwe skrypty. Skrypty te mogą działać na różnych systemach – Windows, Linux i macOS. PromptLock korzysta ze ogólnodostępnego modelu sztucznej inteligencji (poprzez API), a złośliwy kod trafia bezpośrednio na zaatakowane urządzenie. Na podstawie wcześniej zdefiniowanych poleceń tekstowych (tzw. promptów), złośliwe oprogramowanie samo decyduje, czy ma wykraść dane, czy je zaszyfrować. Chociaż nie odnotowano jeszcze użycia PromptLock w prawdziwych atakach, to pokazuje on, jak groźne mogą być takie techniki w przyszłości.

Badacze z ESET odkryli nowy typ ransomware’u, który wykorzystuje generatywną sztuczną inteligencję (GenAI) do przeprowadzania ataków. Złośliwe oprogramowanie, nazwane PromptLock, uruchamia lokalnie dostępny model językowy AI, który w czasie rzeczywistym tworzy złośliwe skrypty. Podczas infekcji sztuczna inteligencja samodzielnie decyduje, które pliki przeszukać, skopiować lub zaszyfrować. To może oznaczać przełom w sposobie działania cyberprzestępców.

Pojawienie się narzędzi takich jak PromptLock pokazuje, że krajobraz cyberzagrożeń ulega istotnej zmianie

Anton Cherepanov

starszy analityk złośliwego oprogramowania w ESET

PromptLock tworzy skrypty w języku Lua, które działają na różnych systemach operacyjnych - w tym Windows, Linux i macOS. Trojan skanuje pliki znajdujące się na urządzeniu, analizuje ich zawartość i na podstawie wcześniej zdefiniowanych poleceń tekstowych, decyduje, czy dane mają zostać wykradzione, czy zaszyfrowane. W kodzie znajduje się funkcja niszcząca dane, choć na razie pozostaje nieaktywna.

Ransomware PromptLock używa szyfrowania SPECK (128-bitowego) i zostało stworzone w języku programowania Golang. Pierwsze jego wersje pojawiły się w serwisie VirusTotal, który służy do analizy złośliwego oprogramowania. Choć eksperci z ESET traktują PromptLock jako techniczny eksperyment, samo istnienie takiego narzędzia pokazuje, jak poważne może być to zagrożenie w przyszłości.

Dzięki wykorzystaniu AI tworzenie zaawansowanych ataków stało się znacznie prostsze. Nie potrzeba już zespołów doświadczonych programistów. Dobrze skonfigurowany model sztucznej inteligencji wystarczy dziś, by stworzyć złożone, samodostosowujące się złośliwe oprogramowanie. Jeśli takie zagrożenia zostaną odpowiednio wdrożone, mogą poważnie utrudnić ich wykrywanie i znacząco skomplikować pracę specjalistów ds. cyberbezpieczeństwa

Anton Cherepanov

starszy analityk złośliwego oprogramowania w ESET

PromptLock korzysta z ogólnodostępnego modelu sztucznej inteligencji poprzez API. Dzięki temu złośliwe skrypty są tworzone na bieżąco i trafiają bezpośrednio na zainfekowany komputer. Co ciekawe, w jednym z poleceń AI (tzw. promptów) znalazł się adres portfela Bitcoin, który prawdopodobnie należy do samego twórcy Bitcoina - Satoshiego Nakamoto.