Виявлено перший вірус-вимагач на базі ШІ

Дослідники компанії ESET розповіли про перший відомий вірус-шифрувальник, який використовує у своїй «роботі» генеративний ШІ. Він здатний заражати пристрої під управлінням Windows, Linux і macOS і демонструє абсолютно новий підхід до кібератак, а також проблеми поточних методів їх виявлення.

PromptLock написаний на мові Golang. Його головна відмінність від широко відомих шифрувальників полягає в інтеграції з відкритою LLM GPT-OSS:20b. Підключення до моделі здійснюється через Ollama API, що працює на віддаленому сервері, при цьому завантаження самої нейромережі на заражений пристрій не потрібно.

Потрапляючи в систему, PromptLock встановлює з’єднання з сервером Ollama і в реальному часі генерує Lua-скрипти. Ті, в свою чергу, сканують файлову систему, аналізують вміст накопичувача і відбирають дані для шифрування. Скрипти щоразу створюються з нуля і відрізняються між собою, що ускладнює їх виявлення.

Фахівці розповіли про ключові індикатори, які можуть вказувати на зараження:

• нетипові патерни доступу до файлової системи;
• виконання Lua-скрипту в несподіваних процесах;
• масове шифрування файлів за допомогою SPECK;
• аномальні мережеві з’єднання з API-серверами LLM-моделей.

В якості заходів протидії рекомендується використовувати EDR-системи, орієнтовані на поведінковий аналіз, впроваджувати моніторинг мережевих тунелів і блокувати підозрілі з’єднання, а також застосовувати білі списки додатків, контроль виконання скриптів, підтримувати офлайн-бекапи і процедури швидкої ізоляції заражених машин.

Детальніше ознайомитися зі звітом (англійською мовою) можна на офіційному сайті ESET.