Mega Sekurak Hacking Party w Krakowie! 20.10.2025 r. Bilety -30%
PromptLock – pierwszy znany na świecie Ransomware stworzony przez AI. Czy jest się czego bać?
Anton Cherepanov, badacz bezpieczeństwa z firmy ESET podczas rutynowej analizy próbek wrzucanych na portal VirusTotal, odkrył nowy wariant malware. Jego uwagę zwrócił plik (kod napisany w Golang), zawierający odwołanie do modelu gpt-oss-20b oraz instrukcje sterujące (prompty), umożliwiające generowanie potencjalnie złośliwych skryptów bezpośrednio w systemie ofiary. Nowo wykryty malware został rozpoznany jako wariant Ransomware i nazwany PromptLock.
TLDR:
- Badacze bezpieczeństwa z firmy ESET wykryli nowy wariant Ransomware – PromptLock, który wykorzystuje modele AI do generacji złośliwych skryptów, bezpośrednio na zainfekowanym urządzeniu.
- Oprogramowanie działa na popularnych systemach operacyjnych (Windows, Linux, macOS).
- Jego głównym zadaniem jest rozpoznanie infrastruktury ofiary, pod kątem wykrycia i zaszyfrowania interesujących plików przy użyciu algorytmu symetrycznego SPECK-128.
- Na chwilę obecną nie odnotowano przypadków użycia PrompLock w rzeczywistych atakach.
Jak działa PromptLock?
PromptLock to nic innego jak wariant Ransomware, w którym elementy związane z rozpoznaniem infrastruktury klienta, tj.: ustaleniem istotnych danych, szyfrowaniem plików, żądanie okupu pozostały bez zmian. Nowością w stosunku do klasycznych wersji jest dynamiczne generowanie złośliwych skryptów, bezpośrednio na urządzeniu końcowym ofiary.

Malware w początkowej fazie ataku próbuje nawiązać połączenie z lokalnym modelem AI (gpt-oss-20B) za pośrednictwem OLLAMA API. Można się domyślać, że w przypadku kiedy model ten jest niedostępny, malware nie podejmie próby jego pobrania (13 GB danych zostałoby szybko wykryte przez systemy XDR klienta). Zamiast tego spróbuje utworzyć tunel, nawiązując połączenie z infrastrukturą kontrolowaną przez atakującego, gdzie model ten został uruchomiony.
„PromptLock does not download the entire model, which could be several gigabytes in size(…) „Instead, the attacker can simply establish a proxy or tunnel from the compromised network to a server running the Ollama API with the gpt-oss-20b model.”
Źródło: thehackernews.com
Na podstawie zakodowanych poleceń model generuje złośliwe skrypty Lua. Przykładowy prompt został przedstawiony poniżej.




Źródło: x.com/ESETresearch
Wynikiem przeprowadzonych operacji jest dynamiczne wygenerowanie skryptów Lua, dostosowanych do rodzaju systemu operacyjnego. W ten sposób, malware może efektywnie przeprowadzać eksfiltrację danych, przesłać prywatne dane na serwer kontrolowany przez atakującego oraz zaszyfrować (z wykorzystaniem algorytmu SPECK-128) pliki ofiary.
Klucz szyfrujący prawdopodobnie zostaje przesyłany do atakującego z wykorzystaniem algorytmu asymetrycznego RSA.
Czy rzeczywiście jest się czego bać?
Co prawda PromptLock nie został wykryty w realnych działaniach, jednak samo powstanie narzędzia tego typu budzi niepokój.
Dynamiczne generowanie skryptów przez modele AI, znacznie utrudni detekcję, ponieważ IoC (Indicator of Compromise) w przypadku tego typu narzędzi będą każdorazowo inne. Stanowi to ogromne wyzwanie dla systemów wykrywania zagrożeń, opartych w dużej mierze na sygnaturach.
Cyberprzestępcy nie muszą dysponować specjalistyczną wiedzą, aby przygotować w pełni funkcjonalne i efektywne narzędzia, co w przyszłości może skutkować coraz to większa liczbą cyberataków.
“With the help of AI, launching sophisticated attacks has become dramatically easier — eliminating the need for teams of skilled developers,” added Cherepanov. “A well-configured AI model is now enough to create complex, self-adapting malware. If properly implemented, such threats could severely complicate detection and make the work of cybersecurity defenders considerably more challenging.”
Źródło: globenewswire.com
Co ciekawe, w jednym z promptów znalazł się zahardkodowany adres portfela Bitcoin, należący prawdopodobnie do twórcy Bitcoina – Satoshiego Nakamoto. Czy to było zamierzone działanie?
Źródło: x.com/ESETresearch, thehackernews.com, globenewswire.com
~_secmike