ESET descobre o primeiro ransomware conhecido potenciado por IA

Investigadores da ESET, a maior empresa europeia de cibersegurança, descobriram o que chamaram "o primeiro ransomware conhecido potenciado por IA". O malware, que a ESET batizou de PromptLock, usa IA generativa para extrair, encriptar e possivelmente até destruir dados, decidindo autonomamente qual das funções correr.

“O malware PromptLock usa o modelo gpt-oss-20b da OpenAI localmente através da API Ollama para gerar scripts Lua maliciosos em tempo real, que depois executa. O PromptLock aproveita os scripts Lua gerados a partir de prompts predefinidos para enumerar o sistema de ficheiros local, inspecionar ficheiros de destino, extrair dados selecionados e realizar encriptação”, afirmaram os investigadores da ESET. "O ransomware PromptLock está escrito em Golang, e identificámos variantes tanto para Windows como para Linux carregadas no VirusTotal", acrescentaram os investigadores. Golang é uma linguagem de programação altamente versátil e multiplataforma que também ganhou popularidade entre programadores de malware nos últimos anos.

Como o PromptLock usa scripts gerados por IA, os indicadores de comprometimento (IoCs) podem variar entre execuções. Esta variabilidade apresenta desafios para a deteção. Se implementada corretamente, esta abordagem pode complicar significativamente a identificação das ameaças e tornar as tarefas dos defensores mais difíceis.

Os modelos de IA tornaram muito fácil criar mensagens de phishing convincentes, bem como imagens, áudio e vídeo deepfake. A disponibilidade destas ferramentas também reduz drasticamente a barreira de entrada para cibercriminosos menos experientes, permitindo que atuem acima do seu nível.

Entretanto, ao longo dos anos, o flagelo do ransomware tem testado a cibersegurança de inúmeras organizações, com este tipo de malware também a ser cada vez mais utilizado por grupos APT. Como a IA já é utilizada por todos os tipos de cibercriminosos de variadas maneiras, também está posicionada para impulsionar um aumento no volume e impacto dos ataques de ransomware.

Independentemente da intenção por trás do PromptLock, a sua descoberta aponta para como as ferramentas de IA podem ser usadas para automatizar várias etapas dos ataques de ransomware, desde o reconhecimento até a extração de dados, a uma velocidade e escala antes consideradas impossíveis. A perspetiva de malware potenciado por IA que consegue, entre outras coisas, adaptar-se ao ambiente e mudar as suas táticas em tempo real pode representar uma nova fronteira nos ciberataques.

Embora o PromptLock ainda não tenha sido identificado em ataques reais e possa ser considerado uma prova de conceito (PoC) ou um trabalho em progresso, a descoberta da ESET mostra como o uso malicioso de ferramentas de IA disponíveis publicamente pode potenciar ransomware e outras ciberameaças.

Imagens de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/PromptLock