Os investigadores da ESET, descobriram o que chamaram “o primeiro ransomware conhecido potenciado por IA”. Em causa está o malware, que a ESET batizou de PromptLock. Este usa IA generativa para extrair, encriptar e possivelmente até destruir dados, decidindo autonomamente qual das funções correr.
1.º ransomware potenciado pela IA
“O malware PromptLock usa o modelo gpt-oss-20b da OpenAI localmente através da API Ollama para gerar scripts Lua maliciosos em tempo real, que depois executa. O PromptLock aproveita os scripts Lua gerados a partir de prompts predefinidos para enumerar o sistema de ficheiros local, inspecionar ficheiros de destino, extrair dados selecionados e realizar encriptação”, afirmaram os investigadores da ESET.
“O ransomware PromptLock está escrito em Golang, e identificámos variantes tanto para Windows como para Linux carregadas no VirusTotal”, acrescentaram os investigadores. Golang é uma linguagem de programação altamente versátil e multiplataforma que também ganhou popularidade entre programadores de malware nos últimos anos.
Descoberta feita pela ESET
Em primeiro lugar, como o PromptLock usa scripts gerados por IA, os indicadores de comprometimento (IoCs) podem variar entre execuções. Por isso, esta variabilidade apresenta desafios para a deteção. Portanto, se implementada corretamente, esta abordagem pode complicar significativamente a identificação das ameaças e tornar as tarefas dos defensores mais difíceis.
Desse modo, os modelos de IA tornaram muito fácil criar mensagens de phishing convincentes. Isto bem como imagens, áudio e vídeo deepfake.
Em suma, a disponibilidade destas ferramentas também reduz drasticamente a barreira de entrada para cibercriminosos menos experientes. Desse modo, permitindo que atuem acima do seu nível.
Entretanto, ao longo dos anos, o flagelo do ransomware tem testado a cibersegurança de inúmeras organizações, com este tipo de malware também a ser cada vez mais utilizado por grupos APT. Como a IA já é utilizada por todos os tipos de cibercriminosos de variadas maneiras, também está posicionada para impulsionar um aumento no volume e impacto dos ataques de ransomware.
PromptLock é o nome da ameaça apontada pela ESET
Independentemente da intenção por trás do PromptLock, a sua descoberta aponta para como as ferramentas de IA podem ser usadas para automatizar várias etapas dos ataques de ransomware, desde o reconhecimento até a extração de dados, a uma velocidade e escala antes consideradas impossíveis.
Assim sendo, a perspetiva de malware potenciado por IA que consegue, entre outras coisas, adaptar-se ao ambiente e mudar as suas táticas em tempo real pode representar uma nova fronteira nos ciberataques.
Por fim, embora o PromptLock ainda não tenha sido identificado em ataques reais e possa ser considerado uma prova de conceito (PoC) ou um trabalho em progresso. Em suma, a descoberta da ESET mostra como o uso malicioso de ferramentas de IA disponíveis publicamente pode potenciar ransomware e outras ciberameaças.
Fica mais conectado: