Experții ESET au descoperit recent un virus ransomware foarte ciudat care pare a fi ceva complet nou, fără precedent, deoarece este primul virus ransomware care se bazează pe AI pentru a efectua atacuri mai eficiente, ajutat de un LLM care rulează local.
Denumit elegant PromptLock, ransomware-ul este foarte specializat. Este una cross-platform, ceea ce înseamnă că poate ataca eficient nu numai Windows, ci și configurații bazate pe Linux și macOS. Este dificil de detectat deoarece se comportă ușor diferit, datorită LLM-ului pe care îl utilizează, fiind și mai periculos.
Ransomware-ul interacționează cu modelul de limbaj prin interacțiuni predefinite, scrise, care pot să ruleze și local, ceea ce îl face și mai greu de observat. Deoarece rezultatul final întotdeauna diferit, în ciuda cererilor predefinite, este dificil să se detecteze. Aceasta poate căuta între fișierele locale, a le analiza, filtra anumite date, și a le cripta. În principiu, programul ar putea chiar să distrugă date, însă această funcționalitate nu a fost încă implementată, dar pare să fi fost creată o posibilitate de a o face în viitor.
În mod curios, ransomware-ul utilizează scripturi Lua, ceea ce pare o alegere neobișnuită în acest domeniu. Acest limbaj de programare este utilizat în principal pentru jocuri, dar este folosit și pentru prelucrarea imaginilor și pentru aplicații web, fiind un limbaj de scripting open source, independent de platformă și încorporabil. Lua are mai multe avantaje în domeniul ransomware-ului, cum ar fi execuția eficientă, suportul pentru mai multe platforme și ușurința de utilizare.
PromptLock utilizează modelul de limbaj mare gpt-oss:20b al OpenAI, dar deoarece ransomware-ul nu este conectat la LLM-uri online, nu se poate opri de creatori. Deoarece este un LLM, rezultatul cererilor diferă de fiecare dată, chiar dacă acestea rulează pe același sistem, cu aceleași expresii, datorită naturii nedeterministe a operațiunii. Acest lucru este util pentru creatorii de ransomware, deoarece o face de negăsit cu metode statice de identificare a unor segmente de cod predefinite.
Codul malițios este generat în timp real de către ransomware folosind API-ul Ollama, sub formă de scripturi în limbajul de programare Lua. Aceasta este o amenințare reală care nu va face decât să crească pe măsură ce autorii de programe malware devin mai creativi și exploatează potențialul LLM-urilor locali. Deoarece din ce în ce mai multe procesoare au - și vor avea - o unitate NPU, amenințarea le va afecta și mai mult, deci este timpul ca să se dezvolte sisteme noi de apărare, înainte de a fi prea târziu...
