Eset entdeckt KI-gesteuerte Ransomware
Sicherheitsfachleute von Eset haben eine neue Schadsoftware namens "PromptLock" identifiziert. Die Ransomware nutzt ein lokal installiertes KI-Sprachmodell, um autonom Angriffsskripte zu generieren und zu entscheiden, welche Dateien sie verschlüsselt oder exfiltriert.
Forschende des slowakischen Anbieters von IT-Security-Lösungen Eset haben eine Schadsoftware entdeckt, die künstliche Intelligenz zur automatisierten Erstellung von Angriffsskripten einsetzt. Das Programm mit der Bezeichnung "PromptLock" verwendet ein lokales KI-Sprachmodell, um während eines Angriffs selbstständig zu entscheiden, welche Dateien es durchsucht, kopiert oder verschlüsselt.
Die Software generiert zu diesem Zweck sogenannte Lua-Skripte - kleine Befehlsdateien in einer einfachen Skriptsprache, die für ihre Flexibilität bekannt ist. Dies ermöglicht es der Malware, plattformübergreifend auf Windows, Linux und MacOS zu agieren. Eine Funktion zur Zerstörung von Dateien sei offenbar bereits vorbereitet, aber noch nicht aktiv, teilt Eset mit.
Für die Verschlüsselung nutzt die in der Programmiersprache Golang geschriebene Malware den Speck-Algorithmus mit 128 Bit, ein relativ leichtgewichtiges Verschlüsselungsverfahren. Erste Varianten tauchten auf der Analyseplattform Virustotal auf. Eset geht davon aus, dass es sich um einen Proof-of-Concept handelt, also eine Art Machbarkeitsstudie, die demonstrieren soll, was technisch realisierbar ist.
"Das Aufkommen von Werkzeugen wie 'PromptLock' ist eine bedeutende Veränderung in der Cyber-Bedrohungslandschaft", lässt sich Anton Cherepanov, IT-Sicherheitsforscher bei Eset, in der Mitteilung zitieren. Mithilfe von KI sei es wesentlich einfacher geworden, komplexe Angriffe zu starten. Ein gut konfiguriertes KI-Modell reiche bereits aus, um sich selbst anpassende Malware zu erstellen. "Bei ordnungsgemässer Implementierung könnten solche Bedrohungen die Erkennung erheblich erschweren und die Cybersicherheit vor Herausforderungen stellen."
Den Angaben von Eset zufolge nutzt die Software ein frei verfügbares Sprachmodell und steuert dieses lokal über eine API an. Auf diese Weise erstellt sie die Angriffsskripte direkt auf dem infizierten Rechner - ohne Verbindung zur Cloud. Selbst die Bitcoin-Adresse für die Erpressung ist im Prompt eingebaut. Sie führt laut Eset kurioserweise zu einem Wallet, das scheinbar dem Bitcoin-Erfinder Satoshi Nakamoto gehört.
Bösartige Hacker missbrauchen übrigens nicht nur bekannte grosse Sprachmodelle für ihre Zwecke, sondern trainieren mitunter auch eigene, unzensierte Systeme. Mehr darüber, wie Cyberkriminelle LLMs einsetzen, erfahren Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Betrüger locken mit gefälschten Abholungseinladungen
Update: Ostschweizer Kantone und Liechtenstein partnern für KI in der Verwaltung
Bund digitalisiert ordentliche Einbürgerungsverfahren
Salesforce sieht Unternehmen auf dem besten Weg zum "Agentic Enterprise"
SpaceX übernimmt Programmier-KI Cursor
Cyberangriffe in der Schweiz steigen im Mai um 7 Prozent
Elca baut Angebot für souveräne Microsoft-Clouds aus
Quantencomputer soll ab 2028 in der AWS-Cloud rechnen
Internationale Polizeiaktion nimmt Geldwäschereiplattform für Cyberkriminelle vom Netz
