PromptLock – ransomware nove generacije koji koristi AI za generiranje zlonamjernog softvera

· Sanja Ledinek

PromptLock – ransomware nove generacije koji koristi AI za generiranje zlonamjernog softvera

Stručnjaci za kibernetičku sigurnost otkrili su PromptLock, potpuno novi oblik ucjenjivačkog softvera koji koristi lokalni model umjetne inteligencije (AI) za generiranje zlonamjernog koda u stvarnom vremenu. Ovaj pristup predstavlja značajan korak naprijed – zlonamjerni softver više nije fiksni kod, već se može “prepisivati” izravno na žrtvinom računalu, postajući prilagodljiviji, nepredvidljiviji i teže otkriven.

PromptLock je trenutno PoC (Proof of Concept) otkriven od strane istraživača sigurnosti u ESET-u. Iako nije zabilježena aktivna rasprostranjena varijanta, već je prisutan na VirusTotalu i ima potencijal poslužiti kao predložak za buduće napade.

Kako PromptLock funkcionira

Za razliku od tradicionalnog ransomwarea, koji koristi unaprijed programirani statički kod, PromptLock ne sadrži gotove zlonamjerne funkcije. Umjesto toga, sadrži unaprijed šifrirane “upute” koje se šalju lokalnom velikom jezičnom modelu (LLM) – primjerice modelu gpt-oss:20b preko Ollaminog internog API-ja. Model zatim generira zlonamjerne Lua isječke koda u stvarnom vremenu.

Ovi isječci mogu:

  • Prikupljati informacije o sustavu (korisničko ime, OS, naziv računala, Active Directory…),
  • Tražiti osjetljive podatke u mapama s ključnim riječima poput PII,
  • Komprimirati, šifrirati (128-bitni SPECK) i pripremiti podatke za krađu ili prijenos.

Zašto Lua? Jezik je lagan, radi na Windows, Linux i macOS sustavima, te se lako integrira s programima napisanima u Go-u, glavnom jeziku PromptLocka.

Udar i opasnost PromptLocka

PromptLock donosi nekoliko novih rizika:

  • Visok rizik: AI generirani kod mijenja se pri svakom izvršavanju, što otežava otkrivanje tradicionalnim sigurnosnim alatima.
  • Višeplatformska interoperabilnost: Lua i Go isječci omogućuju infekciju većine popularnih OS-ova.
  • Potencijal za buduće eksploatacije: Iako je trenutno eksperimentalni model, može postati preteča novog vala AI-driven ransomwarea.

Za sada nije zabilježeno rašireno širenje, ali VirusTotal prikazuje uzorke s hash kodovima:

  • 24BF7B72F54AA5B93C6681B4F69E579A47D7C102
  • AD223FE2BB4563446AEE5227357BBFDC8ADA3797
  • BB8FB75285BCD151132A3287F2786D4D91DA58B8

Pokazatelji na koje treba obratiti pažnju uključuju:

Neobične interne API komunikacije (primjerice IP 172.42.0.253:8443) i aktivnosti Lua tumača ili slanje neobičnih JSON zahtjeva.

Preporuke stručnjaka

Kako bi se smanjio rizik od PromptLocka i sličnih AI-driven prijetnji:

  • Pratiti neobičan mrežni promet, posebno POST zahtjeve na neuobičajene adrese.
  • Ažurirati sigurnosni softver temeljen na ponašanju, a ne samo na statičkim potpisima.
  • Strogo kontrolirati ili ograničiti instalaciju lokalnih AI modela, ako nisu nužni.
  • Edukacija zaposlenika o kibernetičkoj sigurnosti, osobito kod razvoja softvera i internog hostinga.

PromptLock nije samo pojedinačna prijetnja. On simbolizira novu eru ransomwarea, u kojoj AI omogućava prilagodljive, “učeće” napade. Ovaj zlonamjerni softver može se ponašati poput živog organizma – prilagođavati se, skrivati i napredovati, što zahtijeva novu razinu pripremljenosti i nadzora.

DRUGE NOVOSTI