Исследовательская команда ESET выявила революционную угрозу в сфере кибербезопасности — PromptLock, первый в истории вымогатель, использующий технологии искусственного интеллекта для генерации вредоносного кода. Хотя обнаруженный образец находится в стадии разработки, его появление сигнализирует о новой эре киберугроз, где ИИ становится инструментом злоумышленников.
Техническая архитектура PromptLock
Вредоносная программа построена на базе модели gpt-oss-20b от OpenAI — одной из двух бесплатных open-weight моделей, недавно опубликованных компанией. Особенность PromptLock заключается в том, что модель функционирует локально на зараженном устройстве через Ollama API, что обеспечивает автономность работы без подключения к внешним серверам.
Основной механизм работы базируется на динамической генерации Lua-скриптов с использованием жестко закодированных промптов. Эти скрипты выполняют критически важные функции: сканирование файловой системы, идентификацию целевых файлов, извлечение конфиденциальных данных и последующее шифрование информации.
Кроссплатформенные возможности
Архитектурное решение с использованием Lua-скриптов обеспечивает PromptLock универсальную совместимость с операционными системами Windows, Linux и macOS. Сам вымогатель разработан на языке программирования Go, что дополнительно повышает его портативность между различными платформами.
Для шифрования файлов злоумышленники выбрали 128-битный алгоритм SPECK — легковесный криптографический стандарт, разработанный Агентством национальной безопасности США. Данный выбор свидетельствует о стремлении создателей к эффективному шифрованию с минимальными вычислительными затратами.
Интеллектуальная селекция файлов
Уникальной особенностью PromptLock является его способность к контекстному анализу файлов. Вместо слепого шифрования всех доступных данных, вымогатель использует ИИ для принятия решений о том, какие файлы следует искать, копировать, шифровать или уничтожать, основываясь на типе файла и его содержимом.
Исследователи ESET отмечают, что функциональность уничтожения данных в текущей версии пока не реализована, что подтверждает статус проекта как proof-of-concept или незавершенной разработки.
Обнаружение и распространение
Образцы PromptLock были выявлены на платформе VirusTotal для операционных систем Windows и Linux. Несмотря на отсутствие зарегистрированных случаев активного использования в реальных атаках, специалисты ESET подчеркивают важность информирования киберсообщества о подобных разработках.
Появление PromptLock демонстрирует потенциал искусственного интеллекта в качестве инструмента для автоматизации и усовершенствования киберпреступной деятельности. Способность ИИ генерировать адаптивный вредоносный код в реальном времени может существенно усложнить задачи обнаружения и нейтрализации угроз для традиционных антивирусных решений.
Эксперты рекомендуют организациям усилить мониторинг сетевой активности, регулярно обновлять системы защиты и проводить комплексное резервное копирование критически важных данных. Развитие ИИ-технологий требует пропорционального развития средств защиты, способных противостоять новому поколению интеллектуальных киберугроз.