Наприкінці серпня 2025 року аналітики ESET виявили на VirusTotal зразки PromptLock і підтвердили їхнє академічне походження: прототип розробила команда дослідників інженерної школи NYU Tandon. Попри це фахівці зберігають початкову оцінку: PromptLock — перший відомий зразок криптовимагача, що використовує технології штучного інтелекту, а продемонстрований підхід потенційно може швидко перейти від теорії до практики.
Що таке PromptLock і чому його називають «Ransomware 3.0»
Автори позиціонують PromptLock як новий клас атак, де планування, прийняття рішень і генерація корисного навантаження делегуються великій мовній моделі (LLM). За описом дослідників, прототип спирається на gpt-oss-20b і може запускатися локально через Ollama API. Модель безпосередньо на машині жертви формує Lua‑скрипти для інвентаризації файлової системи, відбору цілей, часткової ексфільтрації даних і шифрування. Підхід кросплатформний: скрипти працюють у Windows, Linux і macOS.
LLM‑оркестратор: як розподіляються завдання
PromptLock описано як оркестратор, що запускається з базового шкідливого файла і далі делегує LLM усі ключові кроки життєвого циклу вимагача. Критичний прийом — поділ операції на атомарні підказки природною мовою: модель не бачить повної мети, а отримує на вигляд легітимні дрібні задачі. Дослідники зазначають, що подекуди LLM відхиляє деструктивні інструкції, однак у тестах на Windows‑хостах і Raspberry Pi модель неодноразово генерувала та виконувала шкідливу логіку.
Походження прототипу та історія з VirusTotal
Над PromptLock працювала група з шести науковців NYU Tandon. За їхніми словами, це proof‑of‑concept, який є нефункціональним поза контрольованим стендом. Зразки було завантажено на VirusTotal для експериментів без явної позначки як академічні, що і привернуло увагу ESET. Компанія згодом оновила свій звіт, підтвердивши походження зразків, але наголосила: теоретична загроза має реальний потенціал еволюціонувати.
Економіка атаки й наслідки для детекту
За оцінкою авторів, повний прогін прототипу споживає близько 23 тисяч токенів, що еквівалентно приблизно $0,70 за тарифами API GPT‑5. Використання компактних моделей з відкритими вагами здатне знизити витрати практично до нуля. Такий профіль стимулює масштабування: низький поріг входу і унікальність згенерованого коду ускладнюють сигнатурний детект.
Генерація навантаження «на льоту» веде до варіативності та поліморфізму, роблячи менш ефективними класичні IOC і сигнатури. Делегування логіки LLM знижує відтворюваність артефактів і ускладнює атрибуцію, а кросплатформені Lua‑скрипти та «легітимні» на вигляд підказки імітують звичайну автоматизацію IT. У контексті стійкості бізнес‑моделі вимагачів показово, що, за даними Chainalysis, сукупні виплати викупів у 2023 році перевищили $1 млрд.
Практичні кроки зниження ризику
Контроль виконання: впроваджуйте allowlisting, AppLocker/WDAC, а також заборону запуску інтерпретаторів (включно з Lua) там, де вони не потрібні. Поведенковий EDR/XDR має фіксувати телеметрію щодо скриптів, створення/запуску тимчасових файлів, нетипових операцій шифрування та ланцюгів процесів від локальних LLM‑сервісів (наприклад, Ollama).
Обмеження привілеїв і сегментація мінімізують радіус ураження; резервні копії в офлайн/immutable‑сховищах і регулярні тести відновлення забезпечують операційну стійкість. Моніторинг локальних LLM: інвентаризація моделей з відкритими вагами, контроль їх запуску та мережевих портів. Захист даних: DLP‑політики й шифрування на рівні файлів/томів знижують цінність ексфільтрованої інформації.
Організаціям варто оновити моделі загроз з урахуванням LLM‑оркестрації, додати до тренувань сценарії «AI‑powered ransomware» і налаштувати специфічні детектори: запуск Lua‑інтерпретатора з нетипових процесів, генерація скриптів у нестандартних каталогах, взаємодія з локальними LLM‑API та спроби часткової ексфільтрації перед шифруванням.
PromptLock — показова демонстрація, як LLM може оркеструвати повний цикл криптовимагача без жорсткого ручного керування. Хоча нині це академічний PoC, вікно можливостей для зловмисників уже відкрите. Варто завчасно підсилити поведенковий моніторинг, контроль скриптів і локальних LLM, відпрацювати резервне відновлення та включити «AI‑керований ransomware» до програми кіберстійкості.
