Jak PromptLock funguje?
Ransomware dokáže lokálně spustit dostupný AI jazykový model, který v reálném čase generuje škodlivé skripty v programovacím jazyce Lua. Tyto skripty jsou navrženy tak, aby fungovaly napříč různými operačními systémy včetně Windows, Linuxu i macOS.
Během útoku umělá inteligence na základě předem definovaných textových příkazů rozhoduje o dalším postupu. Prohledává lokální soubory, analyzuje jejich obsah a podle instrukcí určuje, která data má vyhledat, zkopírovat, zašifrovat nebo dokonce nenávratně zničit. V kódu je již připravena také destruktivní funkce pro mazání dat, která však zatím zůstává neaktivní.
#ESETResearch has discovered the first known AI-powered ransomware, which we named #PromptLock. The PromptLock malware uses the gpt-oss:20b model from OpenAI locally via the Ollama API to generate malicious Lua scripts on the fly, which it then executes 1/6 pic.twitter.com/wUZS7Fviwi
— ESET Research (@ESETresearch) August 26, 2025
Technické charakteristiky
PromptLock je napsán v programovacím jazyce Golang a pro šifrování dat používá algoritmus SPECK s 128bitovým klíčem. Malware využívá volně dostupný jazykový model přístupný přes API, takže škodlivé skripty jsou generovány a doručovány přímo na napadené zařízení.
Zajímavým detailem je, že v příkazech pro umělou inteligenci se objevuje bitcoinová adresa údajně spojená s tvůrcem Bitcoinu, Satoshim Nakamotem. První varianty tohoto ransomware se již objevily na platformě VirusTotal určené k analýze škodlivých kódů.
Mohlo by vás zajímat
Posun v kybernetických hrozbách
Objevení PromptLock podle odborníků znamená změnu v tom, jak mohou kyberzločinci útočit. Zatímco dříve byla umělá inteligence spojena především s ransomwarovou skupinou FunkSec, která AI využívala při vývoji, PromptLock jde mnohem dále a škodlivý kód generuje automaticky v průběhu samotného útoku.
Tento přístup přináší několik nebezpečných výhod pro útočníky. Generovaný kód může být obtížnější odhalit tradičními bezpečnostními nástroji, protože se vytváří dynamicky a může se lišit při každém útoku. Bezpečnostní experti v současnosti klasifikují PromptLock jako funkční ukázku konceptu, nikoliv jako plně rozvinutou hrozbu. Přesto varují, že potenciál tohoto přístupu je velmi reálný a může inspirovat aktivní ransomwarové skupiny k podobným metodám.
Malware byl oficiálně klasifikován pod označením Filecoder.PromptLock.A a technické detaily jeho fungování byly zveřejněny s cílem zvýšit povědomí o této hrozbě v kyberbezpečnostní komunitě.
Zdroj: X, WeLiveSecurity, PCMag
5 foto
video
