Ransomware s názvem PromptLock představuje první známý případ škodlivého softwaru, který využívá generativní umělou inteligenci k vytváření škodlivých skriptů přímo během útoku.
Zatímco dosavadní ransomware používal předem naprogramované postupy, PromptLock jde úplně jinou cestou. Dokáže lokálně spustit jazykový AI model a na základě textových promptů (zadání) rozhoduje v reálném čase, která data vyhledat, zkopírovat, zašifrovat nebo dokonce nenávratně zničit.
AI jako nový spolupachatel
„Vznik nástrojů jako PromptLock představuje významný posun v oblasti kybernetických hrozeb,“ vysvětluje Anton Cherepanov, seniorní expert na výzkum malwaru ve společnosti ESET, který spolu s kolegou Peterem Strýčkem analyzoval tento nebezpečný kousek kódu.
Umělá inteligence v rukou útočníků přináší nové výzvy. Foto: Freepik
Co dělá PromptLock tak výjimečným? Generuje skripty v programovacím jazyce Lua, které fungují napříč všemi hlavními operačními systémy (Windows, Linux i macOS). To znamená, že jeden útok může ohrozit prakticky jakékoli zařízení.
Ransomware prohledává lokální soubory, analyzuje jejich obsah a díky AI rozhoduje, jak s nimi naložit. Zatím používá šifrovací algoritmus SPECK s 128bitovým klíčem, což je solidní šifrování, kterou bez klíče jen tak neprolomíte.
Více než jen proof of concept
Přestože výzkumníci z ESETu označují PromptLock za „proof of concept“, tedy funkční ukázku nové technologie, varují, že hrozba je velmi reálná. První vzorky se už objevily na platformě VirusTotal, kterou používají bezpečnostní experti k analýze podezřelého kódu.
„Doposud byl s AI spojován ransomwarový gang FunkSec, který se netajil tím, že využívá AI při vývoji,“ upřesňuje Jakub Souček, vedoucí výzkumného týmu v pražské pobočce ESETu. „PromptLock ale posouvá integraci AI mnohem dále, škodlivý kód generuje automaticky v průběhu útoku.“
Tady je háček. Automaticky generovaný kód může být mnohem obtížněji odhalitelný než tradiční malware. Každý útok může vypadat jinak, což ztěžuje práci antivirovým programům.
Bitcoinová kuriozita
Zajímavým detailem je, že prompt obsahuje bitcoinovou adresu údajně spojenou se samotným tvůrcem Bitcoinu, Satoshim Nakamotem.
Výkupné autoři ransomwaru často požadují právě ve formě kryptoměn. Zdroj: Pixabay
Ransomware také šikovným způsobem využívá lokální API. Znamená to, že škodlivé skripty se generují a doručují přímo do napadeného zařízení, aniž by útočník musel mít přímé spojení se svými servery. Zástupce ESETu pro inSmart.cz potvrdil: „PromptLock využívá lokálně nasazený model, a k němu následně přistupuje pomocí ollama API. Komunikace tedy probíhá pomocí HTTP, nicméně v rámci lokální sítě.“
Co to znamená pro budoucnost
ESET zveřejnil technické detaily svého výzkumu, aby zvýšil povědomí o této hrozbě v bezpečnostní komunitě. Malware byl klasifikován pod označením Filecoder.PromptLock.A.
Objevení PromptLocku může znamenat začátek nové éry v kyberzločinu. Pokud se některá z aktivních ransomwarových skupin rozhodne podobný přístup adoptovat, mohli bychom čelit útokům, které jsou nepředvídatelnější a přizpůsobivější než kdy dříve.
Zdroj: TZ ESET
