Expert, který objevil první ransomware využívající AI: „Je to vzrušující, uvědomuji si ale rizika“

Co bylo nějakou dobu jen teorií, se konečně stalo skutečností. ESET objevil první ransomware využívající umělou inteligenci, který dostal název PromptLock. Naštěstí se zatím jedná jen o rozpracovaný koncept, nikoli o aktivní hrozbu.

O tom, jak k tomuto průlomovému objevu došlo a co to znamená pro veřejnost, jsme mluvili s Antonem Cherepanovem z ESETu, který tento malware objevil.

Jak to začalo

Nejprve vám gratulujeme k vašemu objevu. Je to špatná zpráva pro svět, ale zároveň další milník v éře umělé inteligence. Jak se cítíte?

Jsem nadšený, ale zůstávám opatrný. Je to vzrušující, zároveň si uvědomuji ta nebezpečí.

Jak jste tento ransomware objevil?

V ESETu se aktivně věnujeme tzv. threat huntingu, tedy vyhledávání nových a vznikajících hrozeb. Jedním z našich klíčových zdrojů škodlivých vzorků je VirusTotal, online platforma, kam uživatelé nahrávají podezřelé soubory, aby je prověřilo více kyberbezpečnostních nástrojů. V rámci svých každodenních povinností kontroluji na VirusTotal nově nahrané vzorky malwaru, abych identifikoval nové nebo dosud neodhalené hrozby.

Jeden z promptů, které ransomware PromptLock využívá

Jak jste dokázali zrekonstruovat prompty použité k napsání malwaru?

Analyzovali jsme kód malwaru a extrahovali jsme prompty, které do něj byly vloženy. Tyto prompty byly pevně zakódovány do malwaru, což znamená, že jsou statické a nemění se při jednotlivých spuštěních.

Jak si můžete být tak jistí, že malware byl vytvořen modelem OpenAI gpt-oss:20b?

Protože kód malwaru obsahuje odkazy na model gpt-oss:20b.

Nezmeškejte nic důležitého

Získejte přehled o trendech a novinkách ze světa kyberbezpečnosti.

ODEBÍRAT NOVINKY

Schopnosti nového ransomwaru

Co tento ransomware dokáže?

Malware PromptLock obsahuje vložené prompty, které odesílá modelu gpt-oss:20b, aby generoval skripty v jazyce Lua. Ačkoli jsou prompty statické, generované skripty se mohou při každém spuštění lišit. Malware navíc vykazuje nedeterministické chování v závislosti na uživatelských souborech, které objeví. Domníváme se však, že v nejpravděpodobnějším scénáři malware exfiltruje soubory a následně je zašifruje pomocí 128bitovým šifrovacím algoritmem SPECK.

Popsali byste ho jako sofistikovaný malware, nebo spíše jednoduchý kód, který by dokázal napsat i začínající kyberzločinec?

Ačkoli vykazuje určitou míru sofistikovanosti a inovativnosti, současná implementace nepředstavuje vážnou hrozbu.

Dokázala by ho řešení ESET zastavit?

I když se generované skripty v jazyce Lua mohou při každém spuštění lišit, spustitelné soubory, které je vytvářejí, zůstávají stejné. Robustní bezpečnostní řešení dokáže tyto spustitelné soubory označit jako škodlivé.

Jaké jsou vaše předpovědi ohledně budoucnosti ransomwaru v éře umělé inteligence?

Je téměř jisté, že kyberzločinci budou využívat umělou inteligenci k vytváření nových rodin ransomwaru.

Co to znamená pro veřejnost?

Pro veřejnost to znamená, že ransomware se pravděpodobně stane sofistikovanějším, bude se šířit rychleji a bude obtížnější ho odhalit. Útoky by mohly cílit nejen na velké organizace, ale také na jednotlivce, malé firmy, a dokonce i na kritickou infrastrukturu. Běžný člověk tak může čelit vyššímu riziku krádeže dat, finančních ztrát a výpadků služeb. Proto je více než kdy dřív důležité uvědomovat si důležitost kybernetické bezpečnosti, pravidelného zálohování a silnější digitální hygieny.