Výskumníci spoločnosti Eset objavili nový typ ransomvéru, ktorý na realizáciu útokov využíva generatívnu umelú inteligenciu (GenAI), upozornili na to na svojom oficiálnom webe. Škodlivý kód s názvom PromptLock spúšťa lokálne dostupný jazykový model umelej inteligencie, ktorý v reálnom čase generuje škodlivé skripty. Počas infekcie AI autonómne rozhoduje, ktoré súbory vyhľadať, skopírovať alebo zašifrovať — čo môže znamenať zásadný zlom v spôsobe, akým kybernetickí zločinci operujú.
„Objavenie nástrojov ako PromptLock poukazuje na významnú zmenu v prostredí kybernetických hrozieb,“ uviedol Anton Čerepanov, výskumník spoločnosti Eset, ktorý analyzoval ransomvér spolu s kolegom Petrom Strýčkom.
Čítajte viac Spor gigantov: Apple žaluje Oppo kvôli krádeži obchodného tajomstva smart hodiniek
PromptLock vytvára Lua skripty kompatibilné s viacerými platformami vrátane Windows, Linux a macOS. Prehľadáva lokálne súbory, analyzuje ich obsah a na základe preddefinovaných textových promptov rozhoduje, či dáta exfiltrovať alebo zašifrovať. Táto deštruktívna funkcia je v kóde už prítomná, hoci doposiaľ zostáva neaktívna.
Ransomvér používa 128-bitový šifrovací algoritmus SPECK a je napísaný v jazyku Golang. Jeho prvé varianty sa už objavili na platforme pre analýzu škodlivého kódu VirusTotal. Hoci Eset považuje PromptLock za dôkaz koncepcie, hrozba, ktorú predstavuje, je veľmi reálna.
Čítajte viac Škodlivé rozšírenia prehliadačov Chrome a Edge špehovali milióny používateľov
„S pomocou umelej inteligencie sa spustenie sofistikovaných útokov stalo dramaticky jednoduchším — už nie je potrebný tím skúsených vývojárov,“ dopĺňa Čerepanov. „Dobre nakonfigurovaný model umelej inteligencie dnes postačuje na vytvorenie komplexného, samo sa prispôsobujúceho škodlivého kódu. V prípade správneho nasadenia by takáto hrozba mohla výrazne skomplikovať detekciu a urobiť prácu kybernetických ochrancov oveľa náročnejšou.“
PromptLock využíva voľne dostupný jazykový model sprístupnený prostredníctvom API, čo znamená, že generované škodlivé skripty sú doručované priamo do infikovaného zariadenia. Zaujímavosťou je, že prompt obsahuje bitcoinovú adresu, ktorá je údajne spojená s tvorcom bitcoinu Satoshi Nakamotom.
