Descoperirea PromptLock arată cum utilizarea abuzivă a modelelor de inteligență artificială ar putea amplifica ransomware-ul și alte amenințări.

Cercetătorii ESET au descoperit ceea ce ei numesc „primul ransomware bazat pe inteligență artificială”. Malware-ul, denumit de ESET PromptLock, are capacitatea de a exfiltra, cripta și, posibil, chiar de a distruge datele, deși această ultimă funcționalitate pare să nu fi fost încă implementată.

Deși PromptLock nu a fost depistat în atacuri reale și este considerat, mai degrabă, o dovadă de concept (PoC, Proof-of-Concept) sau un proiect în lucru, descoperirea făcută de ESET arată cum utilizarea abuzivă a instrumentelor AI disponibile public ar putea amplifica ransomware-ul și alte amenințări cibernetice extinse.

„Malware-ul PromptLock folosește modelul gpt-oss-20b de la OpenAI, rulat local prin API-ul Ollama, pentru a genera pe loc scripturi Lua malițioase, pe care apoi le execută. PromptLock utilizează scripturi Lua generate din prompt-uri (prompts) prestabilite pentru a enumera sistemul de fișiere local, a inspecta fișierele-țintă, a exfiltra datele selectate și a efectua criptarea”, a declarat Anton Cherepanov, Senior Malware Researcher la ESET și unul dintre cei doi cercetători care au făcut descoperirea.

Pe baza fișierelor utilizatorului detectate, malware-ul poate exfiltra date, le poate cripta sau, teoretic, le poate distruge. Deși funcționalitatea de distrugere pare să nu fie încă implementată. Adresa #Bitcoin folosită în prompt pare să aparțină creatorului Bitcoin https://t.co/524K4ARGZe 3/6 pic.twitter.com/ZJ58Bg3jgo
— ESET Research (@ESETresearch) August 26, 2025

Ransomware-ul folosește algoritmul de criptare SPECK pe 128 de biți, iar scripturile funcționează pe toate principalele sisteme de operare desktop: Windows, Linux și macOS.

„Ransomware-ul PromptLock este scris în Golang, iar cercetătorii au identificat variante pentru Windows și Linux încărcate pe VirusTotal”, au adăugat cercetătorii. Golang este un limbaj de programare foarte versatil, cross-platform, care a câștigat popularitate și în rândul autorilor de malware în ultimii ani.

Era o chestiune de timp până să se întâmple

Modelele AI au transformat crearea mesajelor de phishing convingătoare, precum și a imaginilor, materialelor audio și video de tip deepfake, într-un joc de copii. Disponibilitatea largă a acestor instrumente scade dramatic și bariera de acces pentru atacatorii mai puțin familiarizați cu tehnologia, permițându-le să obțină rezultate mult peste nivelul lor.

Între timp, flagelul ransomware-ului a testat de-a lungul anilor rezistența cibernetică a multor organizații, acest tip de malware fiind tot mai des folosit și de grupuri APT. Pe măsură ce AI este deja utilizată de toate tipurile de atacatori, în grade diferite, va contribui, de asemenea, la creșterea volumului și impactului atacurilor de tip ransomware.

Indiferent de intenția din spatele PromptLock, descoperirea sa evidențiază potențialul folosirii malițioase a instrumentelor AI pentru automatizarea diferitelor etape ale unui atac ransomware, de la recunoaștere la exfiltrarea datelor, cu o viteză și o amploare considerate odată imposibile. Perspectiva unui malware alimentat de AI, capabil, printre altele, să se adapteze mediului și să își schimbe tacticile în timp real, reprezintă, în general, o nouă frontieră în atacurile cibernetice.

Pentru a afla cele mai recente tendințe din domeniul ransomware-ului și al peisajului mai larg al amenințărilor cibernetice, vă recomandăm să citiți H1 2025 Threat Report de la ESET. De asemenea, puteți consulta această analiză ESET, care detaliază riscurile și oportunitățile pe care AI le oferă specialiștilor în securitate cibernetică.