Киберугроза будущего: ESET раскрыла PromptLock — первый ИИ-вымогатель

В августе 2025 года исследователи компании ESET сообщили об обнаружении PromptLock — первого известного шифровальщика, использующего генеративный искусственный интеллект ^[1] для создания полиморфного кода. Этот вредонос, написанный на Go, способен заражать устройства под управлением Windows, Linux и macOS. Несмотря на то, что он пока рассматривается как proof-of-concept (прототип), находка демонстрирует, как ИИ может радикально изменить киберугрозы и сделать традиционные методы обнаружения практически бесполезными.

x.com / @ESETresearch / hard-coded prompts — x.com / @ESETresearch ^[2] / hard-coded prompts

PromptLock написан на Golang — языке, ценимом за производительность и кроссплатформенность. Главное отличие этого вируса — интеграция с открытой LLM-моделью GPT-OSS:20b, выпущенной менее месяца назад. Подключение к модели осуществляется через Ollama API, работающей на удалённом сервере: скачивание самой модели на заражённое устройство не производится.

После компрометации системы PromptLock устанавливает соединение с сервером Ollama и в реальном времени генерирует Lua-скрипты. Эти скрипты сканируют файловую систему, анализируют содержимое, отбирают данные для шифрования. Для шифрования используется SPECK-128 — алгоритм, разработанный АНБ США, отличающийся высокой скоростью.

Любопытная деталь: в промптах зашит Bitcoin-адрес, ассоциируемый с Сатоши Накамото. Эксперты считают, что он может использоваться как отвлекающий элемент.

Каждый запуск PromptLock формирует уникальные Lua-скрипты, что делает его полиморфным и почти невидимым для сигнатурных и эвристических систем защиты: статические индикаторы компрометации (например, хэши файлов) становятся бесполезными.

Таким образом, внимание ^[3] специалистов должно смещаться на поведенческий анализ.

Ключевые индикаторы заражения включают:

нетипичные паттерны доступа к файловой системе;
выполнение Lua-скриптов в неожиданных процессах;
массовое шифрование файлов с помощью SPECK;
аномальные сетевые соединения с API серверов LLM-моделей.

В качестве мер противодействия эксперты рекомендуют:

использовать EDR-системы, ориентированные на поведенческий анализ;
внедрять мониторинг сетевых туннелей и блокировать подозрительные соединения;
применять whitelisting приложений и контроль исполнения скриптов;
поддерживать офлайн-бэкапы и процедуры быстрой изоляции заражённых машин.

Источники: WeLiveSecurity ^[4] • ITNews ^[5] • PCMag ^[6] • TheHackerNews ^[7] • SecurityWeek ^[8]

Автор: edyatl

Источник ^[9]

Сайт-источник BrainTools: https://www.braintools.ru

Путь до страницы источника: https://www.braintools.ru/article/18804

URLs in this post:

[1] интеллект: http://www.braintools.ru/article/7605

[2] @ESETresearch: https://x.com/ESETresearch

[3] внимание: http://www.braintools.ru/article/7595

[4] WeLiveSecurity: https://www.welivesecurity.com/en/ransomware/first-known-ai-powered-ransomware-uncovered-eset-research/

[5] ITNews: https://www.itnews.com.au/news/eset-spots-promptlock-ai-powered-ransomware-619869

[6] PCMag: https://www.pcmag.com/news/mysterious-promptlock-ransomware-is-harnessing-openais-model

[7] TheHackerNews: https://thehackernews.com/2025/08/someone-created-first-ai-powered.html

[8] SecurityWeek: https://www.securityweek.com/promptlock-first-ai-powered-ransomware-emerges/

[9] Источник: https://habr.com/ru/news/941466/?utm_source=habrahabr&utm_medium=rss&utm_campaign=941466

Нажмите здесь для печати.