Ransomware PromptLock řídí umělá inteligence

Malware s názvem PromptLock odhalený bezpečnostními experty ESETu dokáže lokálně spustit dostupný AI jazykový model, který v reálném čase generuje škodlivé skripty. Tento nový typ ransomwaru během útoku na základě promptu rozhoduje, které soubory vyhledat, zkopírovat, zašifrovat nebo nenávratně zničit. Aktuální odhalení může znamenat zásadní změnu v tom, jak kyberzločinci útočí.

"Doposud byl s AI spojován ransomwarový gang FunkSec, který se netajil tím, že využívá AI při vývoji. PromptLock posouvá integraci AI mnohem dále, a škodlivý kód generuje automaticky v průběhu útoku, což představuje zásadní změnu v principu využívání AI. Generovaný kód může být například obtížnější odhalit. Jelikož se zatím jedná spíše o funkční ukázku, bude zajímavé sledovat, jestli se některá z aktivních ransomware skupin rozhodne podobný postup aplikovat," říká Jakub Souček, vedoucí výzkumného týmu v pražské pobočce společnosti ESET.

"Vznik nástrojů jako PromptLock představuje významný posun v oblasti kybernetických hrozeb," doplňuje Anton Cherepanov, seniorní expert na výzkum malwaru ve společnosti ESET, který jej analyzoval společně s kolegou Peterem Strýčkem.

Jak pracuje malware PromptLock

Malware PromptLock vytváří skripty v programovacím jazyce Lua, které jsou kompatibilní napříč operačními systémy, včetně Windows, Linuxu a macOS. Prohledává lokální soubory, analyzuje jejich obsah a na základě předdefinovaných textových promptů rozhoduje, zda data exfiltrovat nebo zašifrovat. V kódu je již obsažena také destruktivní funkce ke zničení dat, zatím ale zůstává neaktivní.

Ransomware využívá šifrovací algoritmus SPECK s 128bitovým klíčem a je napsán v jazyce Golang. Jeho první varianty se již objevily na platformě VirusTotal určené k analýze škodlivých kódů. Přestože ESET považuje PromptLock za první funkční ukázku (tzv. proof of concept), hrozba, kterou představuje, je velmi reálná.

Ransomware PromptLock využívá volně dostupný jazykový model přístupný přes API, což znamená, že generované škodlivé skripty jsou přímo doručovány na napadené zařízení. Zajímavostí je, že prompt obsahuje bitcoinovou adresu údajně spojenou s tvůrcem Bitcoinu, Satoshim Nakamotem.

Společnost ESET zveřejnila technické detaily z výzkumu tohoto malwaru, aby zvýšila povědomí o této hrozbě v kyberbezpečnostní komunitě.

Malware byl klasifikován pod označením Filecoder.PromptLock.A.

Článek ESET software spol. s r. o. ze dne pátek 5. září 2025

Další články od ESET software spol. s r. o.