Eset entdeckt KI-gesteuerte Ransomware
Sicherheitsfachleute von Eset haben eine neue Schadsoftware namens "PromptLock" identifiziert. Die Ransomware nutzt ein lokal installiertes KI-Sprachmodell, um autonom Angriffsskripte zu generieren und zu entscheiden, welche Dateien sie verschlüsselt oder exfiltriert.
Forschende des slowakischen Anbieters von IT-Security-Lösungen Eset haben eine Schadsoftware entdeckt, die künstliche Intelligenz zur automatisierten Erstellung von Angriffsskripten einsetzt. Das Programm mit der Bezeichnung "PromptLock" verwendet ein lokales KI-Sprachmodell, um während eines Angriffs selbstständig zu entscheiden, welche Dateien es durchsucht, kopiert oder verschlüsselt.
Die Software generiert zu diesem Zweck sogenannte Lua-Skripte - kleine Befehlsdateien in einer einfachen Skriptsprache, die für ihre Flexibilität bekannt ist. Dies ermöglicht es der Malware, plattformübergreifend auf Windows, Linux und MacOS zu agieren. Eine Funktion zur Zerstörung von Dateien sei offenbar bereits vorbereitet, aber noch nicht aktiv, teilt Eset mit.
Für die Verschlüsselung nutzt die in der Programmiersprache Golang geschriebene Malware den Speck-Algorithmus mit 128 Bit, ein relativ leichtgewichtiges Verschlüsselungsverfahren. Erste Varianten tauchten auf der Analyseplattform Virustotal auf. Eset geht davon aus, dass es sich um einen Proof-of-Concept handelt, also eine Art Machbarkeitsstudie, die demonstrieren soll, was technisch realisierbar ist.
"Das Aufkommen von Werkzeugen wie 'PromptLock' ist eine bedeutende Veränderung in der Cyber-Bedrohungslandschaft", lässt sich Anton Cherepanov, IT-Sicherheitsforscher bei Eset, in der Mitteilung zitieren. Mithilfe von KI sei es wesentlich einfacher geworden, komplexe Angriffe zu starten. Ein gut konfiguriertes KI-Modell reiche bereits aus, um sich selbst anpassende Malware zu erstellen. "Bei ordnungsgemässer Implementierung könnten solche Bedrohungen die Erkennung erheblich erschweren und die Cybersicherheit vor Herausforderungen stellen."
Den Angaben von Eset zufolge nutzt die Software ein frei verfügbares Sprachmodell und steuert dieses lokal über eine API an. Auf diese Weise erstellt sie die Angriffsskripte direkt auf dem infizierten Rechner - ohne Verbindung zur Cloud. Selbst die Bitcoin-Adresse für die Erpressung ist im Prompt eingebaut. Sie führt laut Eset kurioserweise zu einem Wallet, das scheinbar dem Bitcoin-Erfinder Satoshi Nakamoto gehört.
Bösartige Hacker missbrauchen übrigens nicht nur bekannte grosse Sprachmodelle für ihre Zwecke, sondern trainieren mitunter auch eigene, unzensierte Systeme. Mehr darüber, wie Cyberkriminelle LLMs einsetzen, erfahren Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Skyguide bestätigt CTO im Amt
Edgewind – Innovative KI- und Blockchain-Transformation für Unternehmen
Das wohl grösste Säugetier, das es jemals gab oder geben wird
Umfrage zeigt Trend: Schweizer Unternehmen wollen europäische IT-Sicherheit
Spannende Technologie-Tracks
Menschen und Technologie als Schlüssel zum Erfolg
Isolutions erweitert seinen Partnerkreis
Institutionelle Investoren und Krypto – wo stehen wir wirklich?
Schlüsselkriterien für die Skalierung von KI
