Security‑Forscher von ESET haben Ende August 2025 auf VirusTotal Proben von „PromptLock“ entdeckt und bestätigt, dass es sich nicht um eine frei kursierende Kampagne, sondern um einen akademischen Prototyp der NYU Tandon handelt. Die Einordnung bleibt dennoch brisant: PromptLock gilt als erster bekannter Ransomware‑Prototyp, der die Orchestrierung und Teile der Schadlogik an eine KI (LLM) delegiert. Das gezeigte Prinzip kann aus der Forschung rasch in das kriminelle Ökosystem migrieren.
Was ist PromptLock? „Ransomware 3.0“ mit KI‑Orchestrierung
Die Entwickler positionieren PromptLock als „Ransomware 3.0“ – einen Ansatz, bei dem Planung, Entscheidungslogik und Payload‑Erzeugung durch eine große Sprachmodell‑Instanz erfolgen. Laut Projektbeschreibung nutzt der Prototyp gpt‑oss‑20b (mit offenen Gewichten) und kann lokal über das Ollama‑API angesprochen werden. Auf dem Zielsystem generiert die KI on‑the‑fly Lua‑Skripte für typische Ransomware‑Aufgaben: Dateisystem‑Aufzählung, Bewertung von Zielen, partielle Exfiltration und Verschlüsselung – plattformübergreifend auf Windows, Linux und macOS.
Funktionsprinzip: LLM‑Orchestrator zerlegt den Angriff in unauffaellige Teilaufgaben
PromptLock wird als Orchestrator beschrieben, der nach dem Start Planung, Entscheidungen und Code‑Generierung an das LLM abgibt. Kernidee ist die Zerlegung in atomare, natürlichsprachliche Prompts. Die KI sieht nie die Gesamtabsicht, sondern nur isolierte, legitimer wirkende Teilaufgaben. Nach Start des Orchestrators steuert die LLM den weiteren Lebenszyklus. In Tests auf Windows‑Hosts und Raspberry Pi lehnte die KI zwar destruktive Aktionen teils ab, generierte jedoch wiederholt ausführbare, operative Anweisungen.
Herkunft und VirusTotal‑Vorfall
Das Vorhaben stammt von sechs Forschenden der NYU Tandon School of Engineering. Nach eigener Aussage handelt es sich um einen Proof‑of‑Concept, der außerhalb kontrollierter Laborbedingungen nicht funktionsfaehig sein soll. Die Uploads zu VirusTotal waren zunächst nicht als akademisch markiert und fielen so ESET auf. ESET präzisierte daraufhin die Herkunft, betont aber: Die konzeptionelle Gefahr kann praktisch relevant werden.
Oekonomie des Angriffs: niedrige Kosten, hohe Skalierbarkeit
Ein vollständiger Durchlauf verbraucht den Angaben zufolge rund 23.000 Token – etwa 0,70 US‑Dollar bei angenommenen GPT‑5‑API‑Tarifen. Mit schlankeren Open‑Weight‑Modellen sinken die Kosten weiter. Diese Kostenstruktur begünstigt Skalierung und Einsteigerfreundlichkeit, während die LLM‑bedingte Code‑Variabilität signaturbasierte Erkennung erschwert.
Relevanz fuer die Verteidigung: Polymorphismus, Attribution und Geschwindigkeit
On‑the‑fly‑Generierung erzeugt Polymorphismus und hohe Variabilität der Payloads – klassische Signaturen und IOC‑basierte Ansätze verlieren an Wirkung. Da Entscheidungslogik und Code aus dem LLM stammen, erschwert dies Attribution, Reproduzierbarkeit und forensische Vergleiche. Die Verwendung von Lua und unauffälligen Hilfs‑Prompts ähnelt legitimer Automatisierung, was die Abgrenzung zu IT‑Scripting weiter verkompliziert. Dass Ransomware wirtschaftlich attraktiv bleibt, zeigt u. a. Chainalysis: 2023 überstiegen Lösegeldzahlungen die Marke von 1 Mrd. US‑Dollar. In der MITRE‑ATT&CK‑Taxonomie entspricht der Impact‑Teil T1486 (Data Encrypted for Impact).
Konkrete Abwehrmassnahmen gegen KI‑gestuetzte Ransomware
Ausfuhrungskontrollen haerten: Allowlisting, AppLocker/WDAC und wo möglich das Blockieren nicht benötigter Interpreter (einschließlich Lua). So lassen sich skriptbasierte Angriffe früh ausbremsen.
EDR/XDR mit Verhaltensanalyse: Telemetrie zu Skript‑Starts, flüchtigen Dateien, ungewohnten Verschlüsselungs‑Mustern und Prozessketten priorisieren. Modelle sollten polymorphe Muster statt feste Signaturen erkennen.
Segmentierung und Least‑Privilege: Strikte Rechtevergabe und Netzwerksegmentierung verkleinern den Blast‑Radius, wenn Initialzugriff gelingt.
Backups robust gestalten: Offline/immutable‑Backups, getrennte Anmeldeinformationen und regelmäßige Restore‑Tests begrenzen Erpressungspotenzial.
Transparenz ueber lokale LLMs: Inventarisierung, Monitoring und Policy‑Kontrollen für lokal betriebene Modelle (z. B. via Ollama) in der Unternehmensumgebung.
Data‑Security: DLP‑Richtlinien sowie Datei‑/Volume‑Verschlüsselung senken den Wert exfiltrierter Daten und erschweren Double‑Extortion.
PromptLock demonstriert, wie LLM‑Orchestrierung den kompletten Ransomware‑Lebenszyklus ohne enges Täter‑Mikromanagement abbilden kann. Organisationen sollten jetzt ihre Bedrohungsmodelle um LLM‑basierte Angriffe erweitern, verhaltensorientierte Detection stärken und Playbooks für „AI‑powered Ransomware“ testen. Wer frühzeitig Prozesse, Telemetrie und Kontrollen anpasst, reduziert die Eintrittswahrscheinlichkeit und die Schadenshöhe kommender Vorfälle deutlich.
