Firma ESET ogłosiła odkrycie złośliwego oprogramowania, które może zmienić sposób, w jaki postrzegamy cyberataki. Nowy typ ransomware nazwany PromptLock wykorzystuje generatywną sztuczną inteligencję do dynamicznego tworzenia skryptów infekujących systemy.
PromptLock został zaprojektowany tak, aby działać na systemach Windows, macOS i Linux. Jego działanie opiera się na wykorzystaniu otwartego modelu językowego OpenAI, który lokalnie generuje skrypty odpowiadające konkretnemu środowisku atakowanego systemu. Dzięki temu ransomware nie pozostawia powtarzalnych śladów, co utrudnia jego identyfikację i analizę.
Według ekspertów ESET, złośliwe oprogramowanie opiera się na skryptach Lua, które powstają na podstawie zapisanych w kodzie komunikatów. Skrypty te umożliwiają enumerację lokalnego systemu plików, analizę wybranych danych, ich przesyłanie poza sieć oraz szyfrowanie. W obecnej wersji nie zaimplementowano jeszcze funkcji trwałego niszczenia danych, ale badacze nie wykluczają, że może ona pojawić się w kolejnych iteracjach zagrożenia.
Nietypowy wybór języka programowania
Lua, kojarzona głównie z silnikami gier i wtyczkami dla deweloperów, okazała się idealnym narzędziem dla cyberprzestępców. Jest szybka, prosta w implementacji i działa w środowiskach wieloplatformowych. Te cechy umożliwiają sprawne generowanie złośliwego kodu, który bez problemów uruchamia się w różnych konfiguracjach sprzętowych.
Niedeterministyczna natura modeli AI
Jedną z cech generatywnej sztucznej inteligencji jest niedeterministyczność. Oznacza to, że nawet przy identycznym zestawie danych wejściowych model wygeneruje za każdym razem inny wynik. Dla analityków bezpieczeństwa to poważne wyzwanie, ponieważ uniemożliwia przypisanie charakterystycznych sygnatur do konkretnej rodziny złośliwego oprogramowania. Operatorzy ransomware zyskali w ten sposób narzędzie, które pozwala im na tworzenie nieprzewidywalnych, trudnych do wykrycia skryptów.
Badacze z ESET podkreślają, że PromptLock wykorzystuje lokalne API Ollama do obsługi modelu gpt-oss:20b, dzięki czemu wszystkie procesy generowania kodu odbywają się na komputerach cyberprzestępców. Taki mechanizm eliminuje możliwość monitorowania lub blokowania żądań po stronie OpenAI, a tym samym znacząco utrudnia identyfikację źródła ataków.
Nowy rozdział w cyberbezpieczeństwie
Eksperci zwracają uwagę, że pojawienie się ransomware korzystającego z zaawansowanych modeli językowych może otworzyć nowy etap w historii cyberzagrożeń. Dynamiczne generowanie kodu pozwala atakującym szybciej dostosowywać się do zabezpieczeń i tworzyć bardziej złożone, spersonalizowane ataki.
Jednocześnie rozwój technologii lokalnych modeli AI pokazuje, że generatywna sztuczna inteligencja znalazła kolejne, mniej etyczne zastosowanie. Chociaż przedsiębiorstwa na całym świecie wciąż szukają skutecznych sposobów wykorzystania sztucznej inteligencji w biznesie, cyberprzestępcy już nauczyli się, jak przełożyć jej potencjał na praktyczne i groźne narzędzia.
Eksperci ostrzegają, że tradycyjne metody obrony przed ransomware mogą okazać się niewystarczające. Rozwiązania oparte na sygnaturach i przewidywalnych wzorcach zachowań nie są w stanie nadążyć za złośliwym kodem generowanym w czasie rzeczywistym. Przyszłość ochrony systemów informatycznych będzie wymagała większego wykorzystania technologii opartych na uczeniu maszynowym oraz ciągłej analizy behawioralnej.

Pokaż / Dodaj komentarze do: Pierwsze ransomware oparte na sztucznej inteligencji. Tego zagrożenia się nie zatrzyma