Την ανακάλυψη ενός νέου τύπου ransomware, με την ονομασία PromptLock, το οποίο αξιοποιεί τη γενετική τεχνητή νοημοσύνη (GenAI) για την αυτόνομη δημιουργία κακόβουλου κώδικα και την εκτέλεση επιθέσεων σε πραγματικό χρόνο, ανακάλυψαν οι ερευνητές της ESET. Το PromptLock εκτελεί ένα τοπικά προσβάσιμο μοντέλο γλώσσας, ικανό να αποφασίζει ποια αρχεία θα εντοπίσει, θα αντιγράψει ή θα κρυπτογραφήσει, σηματοδοτώντας πιθανώς μια καμπή στον τρόπο που δρουν οι κυβερνοεγκληματίες.

«Η εμφάνιση εργαλείων, όπως το PromptLock, υπογραμμίζει μια σημαντική αλλαγή στο τοπίο των κυβερνοαπειλών», δήλωσε ο Anton Cherepanov, Senior Malware Researcher της ESET, ο οποίος ανέλυσε το κακόβουλο λογισμικό μαζί με τον συνάδελφό του Peter Strýček.

Η ESET αποκαλύπτει μια νέα γενιά κυβερνοαπειλών, όπου η GenAI αποφασίζει ποια αρχεία θα κρυπτογραφήσει σε πραγματικό χρόνο

Το κακόβουλο λογισμικό δημιουργεί Lua scripts συμβατά με Windows, Linux και macOS. Σαρώνει τα τοπικά αρχεία, αναλύει το περιεχόμενό τους και, βάσει προκαθορισμένων προτροπών κειμένου, αποφασίζει αν θα υποκλέψει ή θα κρυπτογραφήσει τα δεδομένα. Ο κώδικας περιλαμβάνει ήδη μια λειτουργία ικανή να προκαλέσει βλάβη στο σύστημα ή στα αρχεία, αν και αυτή παραμένει απενεργοποιημένη προς το παρόν.

Το PromptLock είναι γραμμένο σε Golang και χρησιμοποιεί τον αλγόριθμο κρυπτογράφησης SPECK 128-bit. Σύμφωνα με την ESET, οι πρώτες παραλλαγές του έχουν ήδη εμφανιστεί στην πλατφόρμα VirusTotal, γεγονός που αποδεικνύει ότι το ransomware έχει περάσει από το στάδιο της θεωρίας στην πράξη. Παρ’ ότι οι ερευνητές το αντιμετωπίζουν ως proof of concept, η απειλή που αντιπροσωπεύει θεωρείται υπαρκτή και ιδιαίτερα ανησυχητική.

O ρόλος της ΑΙ

«Με τη βοήθεια της τεχνητής νοημοσύνης, η εξαπόλυση εξελιγμένων επιθέσεων έχει γίνει δραματικά ευκολότερη, εξαλείφοντας την ανάγκη για ομάδες εξειδικευμένων προγραμματιστών», πρόσθεσε ο Cherepanov. «Ένα καλά διαμορφωμένο μοντέλο αρκεί πλέον για να δημιουργήσει αυτοπροσαρμοζόμενο κακόβουλο λογισμικό. Αν τέτοιες μέθοδοι εφαρμοστούν ευρέως, η ανίχνευση θα γίνει εξαιρετικά δύσκολη και το έργο των ειδικών ασφαλείας πολύ πιο απαιτητικό».

Το PromptLock αντλεί ισχύ από ένα ελεύθερα διαθέσιμο μοντέλο γλώσσας μέσω API, με τα παραγόμενα κακόβουλα σενάρια να εκτελούνται απευθείας στη μολυσμένη συσκευή. Αξιοσημείωτη λεπτομέρεια αποτελεί το ότι η εντολή περιλαμβάνει μια διεύθυνση Bitcoin, η οποία φέρεται να συνδέεται με τον ίδιο τον δημιουργό του Bitcoin, Satoshi Nakamoto - στοιχείο που, αν μη τι άλλο, εγείρει ερωτήματα για τις προθέσεις των δημιουργών του ransomware.

Η ESET δημοσίευσε αναλυτικές τεχνικές λεπτομέρειες για το PromptLock, το οποίο έχει ταξινομηθεί ως Filecoder.PromptLock.A, προκειμένου να ευαισθητοποιήσει την παγκόσμια κοινότητα κυβερνοασφάλειας. Το νέο κακόβουλο λογισμικό δεν αποτελεί απλώς ακόμη μία παραλλαγή ransomware - είναι το πρώτο παράδειγμα της ενσωμάτωσης της τεχνητής νοημοσύνης σε επιθέσεις αυτού του τύπου.

Η εμφάνιση του PromptLock επιβεβαιώνει τις ανησυχίες ότι η τεχνητή νοημοσύνη μπορεί να μετατραπεί σε εργαλείο στα χέρια κυβερνοεγκληματιών. «Αν μέχρι σήμερα τα ransomware βασίζονταν σε στατικά σενάρια και προκαθορισμένες ρουτίνες, η δυνατότητα ενός αλγορίθμου να δημιουργεί κώδικα προσαρμοσμένο σε κάθε στόχο σε πραγματικό χρόνο ενδέχεται να ανοίξει έναν νέο κύκλο κυβερνοεπιθέσεων. Το ερώτημα πλέον είναι κατά πόσο οι άμυνες μπορούν να προσαρμοστούν με την ίδια ταχύτητα», αναφέρουν οι αναλυτές.