Специалисты ESET, обнаружившие в конце августа 2025 года на VirusTotal образцы PromptLock, подтвердили: это не «дикая» атака, а академический прототип, разработанный командой исследователей инженерной школы Тандон при Нью-Йоркском университете (NYU Tandon). Тем не менее ESET сохраняет первоначальную оценку: PromptLock — первый известный образец вымогателя, использующего технологии ИИ, и показанный принцип может быстро мигрировать из лаборатории в реальную криминальную экосистему.
Что такое PromptLock и почему его называют «Ransomware 3.0»
PromptLock позиционируется авторами как «Ransomware 3.0» — новый класс атак, где орchestration и генерация вредоносной логики делегируются большой языковой модели (LLM). Прототип опирается на gpt-oss-20b от OpenAI — одну из открытых по весам LLM, которую можно запустить локально через Ollama API. На стороне жертвы модель «на лету» создает Lua‑скрипты, которые выполняют привычные для вымогателей задачи: перечисление файловой системы, оценка и отбор целей, эксфильтрация частей данных и шифрование. Подход кроссплатформенный: скрипты работают на Windows, Linux и macOS.
LLM‑оркестратор: как именно распределяются задачи
Исследователи описывают PromptLock как оркестратор, который запускается из вредоносного файла и далее делегирует планирование, принятие решений и генерацию полезной нагрузки LLM. Ключевой прием — разбиение операции на атомарные запросы на естественном языке: модель никогда не видит полной цели, а получает отдельные «легитимно выглядящие» задачи. «После запуска оркестратора злоумышленник теряет управление, и LLM управляет жизненным циклом программы‑вымогателя», отмечают авторы. При этом часть действий, например уничтожение данных, модель может отклонять, однако в тестах на Windows‑хостах и Raspberry Pi ИИ нередко успешно генерировал и исполнял вредоносные инструкции.
Академическое происхождение и инцидент с публикацией на VirusTotal
Над PromptLock работала группа из шести профессоров и исследователей NYU Tandon. По их заявлению, это proof‑of‑concept, нефункциональный вне контролируемой лабораторной среды. Образцы загрузили на VirusTotal для экспериментов, но не пометили их как академические — именно это и привлекло внимание ESET. Впоследствии команда ESET обновила отчет, отметив происхождение образцов, однако подчеркнула неизменный вывод: теоретическая угроза имеет потенциал стать практической.
Экономика атаки: дешево, массово и с низким порогом входа
По оценке авторов, полный прогон прототипа расходует около 23 000 токенов, что составляет приблизительно $0,70 по тарифам API GPT‑5. Использование более компактных моделей с открытыми весами может снизить затраты практически до нуля. Этот экономический профиль усиливает риски масштабирования: порог входа для злоумышленников падает, а уникальность сгенерированного кода затрудняет сигнатурный детект.
Почему это важно для обороны: детект сложнее, цикл атаки быстрее
LLM‑генерация «на лету» приводит к вариативности и полиморфизму полезной нагрузки, что снижает эффективность традиционных сигнатур и IOC‑подходов. Делегирование логики модели затрудняет атрибуцию и воспроизводимость артефактов. Кроме того, кроссплатформенность Lua и «легитимные» на вид подсказки имитируют поведение автоматизации, усложняя разграничение между ИТ‑скриптингом и злоумышленной активностью. Тренд небезоснователен: по данным отраслевых аналитиков, вымогатели остаются одним из самых доходных видов киберпреступности; в 2023 году, по оценке Chainalysis, совокупные платежи выкупів превысили $1 млрд, что подчеркивает устойчивость модели шантажа.
Практические меры снижения риска
Укрепляйте контроль исполнения: внедряйте allowlisting, AppLocker/WDAC и запрет запуска интерпретаторов (включая Lua) там, где они не нужны. Поведенческий EDR/XDR с телеметрией по скриптам, генерации/запуску временных файлов и нетипичным операциям шифрования критичен. Сегментация и принципы наименьших привилегий ограничат радиус поражения. Резервные копии: офлайн/immutable‑хранилища и регулярное тестирование восстановления. Мониторинг локальных LLM: инвентаризация и контроль запусков открытых моделей (в т.ч. через Ollama) в корпоративной среде. Управление данными: DLP‑политики и шифрование на уровне файлов/томов снижают ценность похищенной информации.
PromptLock — показательная демонстрация того, как ИИ может оркестрировать полный жизненный цикл вымогателя без явного микроменеджмента со стороны атакующего. Сегодня это академический PoC, завтра — инструмент в арсенале криминала. Организациям стоит уже сейчас обновлять модели угроз с учетом LLM‑орchestration, усиливать поведенческий мониторинг и контроль скриптов, а также проводить учения по сценарию «AI‑powered ransomware». Чем раньше включить этот класс рисков в программу киберустойчивости, тем ниже цена будущих инцидентов.
