Sicherheitsexperten des IT-Sicherheitsunternehmens ESET haben eine neuartige Schadsoftware namens PromptLock entdeckt, die als erste Ransomware Künstliche Intelligenz (KI) gezielt einsetzt. Die Malware nutzt ein lokal installiertes KI-Sprachmodell, um während eines Angriffs automatisch Skripte zu generieren, die Dateien durchsuchen, kopieren oder verschlüsseln. Diese Innovation markiert einen Wendepunkt in der Cyber-Bedrohungslandschaft und stellt die Cybersicherheit vor neue Herausforderungen.

PromptLock generiert plattformübergreifende Lua-Skripte, die auf Windows, Linux und macOS funktionieren. Die KI analysiert lokale Dateien und entscheidet selbstständig anhand vordefinierter Textbefehle, ob Daten verschlüsselt oder ausgespäht werden. Für die Verschlüsselung verwendet die Malware den 128-Bit-SPECK-Algorithmus. Obwohl eine Funktion zur Zerstörung von Dateien vorbereitet ist, ist diese noch nicht aktiv. Die Schadsoftware, geschrieben in der Programmiersprache Golang, wurde erstmals auf der Analyseplattform VirusTotal entdeckt. ESET stuft sie als Proof-of-Concept ein, betont jedoch die reale Gefahr.

Die Besonderheit von PromptLock liegt in der Nutzung eines frei verfügbaren Sprachmodells, das lokal über die Ollama-API betrieben wird. Dadurch kann die Malware Angriffsskripte direkt auf dem infizierten Gerät erstellen, ohne eine Cloud-Verbindung zu benötigen. Ein kurioses Detail ist die im Code eingebettete Bitcoin-Adresse, die dem pseudonymous Bitcoin-Erfinder Satoshi Nakamoto zugeschrieben wird – möglicherweise ein Ablenkungsmanöver.

Die Entdeckung von PromptLock zeigt, wie KI die Entwicklung komplexer Malware vereinfacht, ohne dass umfangreiche Programmierkenntnisse erforderlich sind. Dies könnte die Hürden für Cyberkriminelle erheblich senken und die Erkennung solcher Bedrohungen erschweren. ESET hat die technischen Details veröffentlicht, um die IT-Sicherheits-Community zu sensibilisieren, und stuft die Malware als Filecoder.PromptLock.A ein. Unternehmen und Nutzer werden aufgefordert, verdächtige Lua-Skripte sowie ungewöhnliche Netzwerkaktivitäten zu überwachen, um sich gegen diese neue Bedrohung zu wappnen.

Redaktion: X-Press Journalistenbüro GbR

Gender-Hinweis. Die in diesem Text verwendeten Personenbezeichnungen beziehen sich immer gleichermaßen auf weibliche, männliche und diverse Personen. Auf eine Doppel/Dreifachnennung und gegenderte Bezeichnungen wird zugunsten einer besseren Lesbarkeit verzichtet.