Eine neue Qualität von Schadsoftware

PromptLock: Erste KI-gesteuerte Ransomware entdeckt

Ransomware, ransomware sonicwall, sonicwall vpn ransomware, sonicwall vpn sicherheit, Akira Ransomware, SonicWall
LinkedInRedditWhatsAppPocket

Forschende des Sicherheitsunternehmens ESET haben eine ungewöhnliche Malware aufgespürt, die Künstliche Intelligenz auf neue Weise einsetzt.

Das Programm trägt den Namen PromptLock und hebt sich von bisherigen Ransomware-Varianten ab, weil es ein lokal installiertes Sprachmodell verwendet, um während des Angriffs eigenständig Skripte zu erzeugen. Diese Fähigkeit erlaubt es der Schadsoftware, flexibel auf Dateien zuzugreifen, sie zu kopieren oder zu verschlüsseln – abhängig von den im Code hinterlegten Anweisungen.

Anzeige

Funktionsweise und Besonderheiten

PromptLock erstellt sogenannte Lua-Skripte, die sowohl unter Windows als auch unter Linux und macOS lauffähig sind. Die Software durchsucht lokale Verzeichnisse, analysiert die Inhalte und entscheidet selbstständig über das weitere Vorgehen. Neben dem Verschlüsseln oder Ausspähen von Daten ist offenbar auch eine Funktion zur dauerhaften Löschung vorbereitet – bislang jedoch nicht aktiviert.

Die Verschlüsselung erfolgt mit dem SPECK-Algorithmus in einer 128-Bit-Version. Entwickelt wurde das Schadprogramm in Golang. Erste Proben tauchten bereits auf der Analyseplattform VirusTotal auf. ESET geht zwar davon aus, dass es sich derzeit noch um ein Proof-of-Concept handelt, also eine Art Machbarkeitsstudie, doch das Risiko sei dennoch ernst zu nehmen.

ESET-Sicherheitsforscher Anton Cherepanov betont, dass mit derartigen Werkzeugen die Einstiegshürden für Angreifer deutlich sinken: Ein leistungsfähiges Sprachmodell könne ausreichen, um Schadsoftware zu generieren, die sich anpasst und schwerer zu erkennen ist. Für die Cybersicherheit sei dies ein klarer Warnhinweis.

Anzeige

Lokale KI statt Cloud-Anbindung

Besonders bemerkenswert ist, dass die Software kein externes System kontaktiert, sondern ein lokal über eine API eingebundenes Sprachmodell nutzt. Damit entstehen die Angriffsskripte direkt auf dem betroffenen Rechner. Selbst die Bitcoin-Adresse für die geforderte Zahlung ist im Programmcode verankert. Kurioserweise führt diese Adresse zu einem Wallet, das dem Bitcoin-Erfinder Satoshi Nakamoto zugeschrieben wird.

ESET hat technische Details unter dem Namen Filecoder.PromptLock.A veröffentlicht, um Fachleute für die neuartige Bedrohung zu sensibilisieren. PromptLock zeigt, dass Künstliche Intelligenz nicht nur im positiven Sinne neue Möglichkeiten eröffnet, sondern auch die Entwicklung von Schadsoftware auf eine neue Stufe heben kann.


Pauline Dornig

Pauline

Dornig

Online-Redakteurin

IT Verlag GmbH

Pauline Dornig verstärkt seit Mai 2020 das Team des IT Verlags als Online-Redakteurin. (pd)
Anzeige

Artikel zu diesem Thema

AVCheck: Polizei legt Schadsoftware-Testplattform still

Weitere Artikel

Ransomware setzt Einzelhandel massiv unter Druck
Vorsicht vor digitalem Job-Betrug durch „Task Scams“
Gar nicht liebenswert: Cyberkriminelle missbrauchen Lovable
70 Prozent mehr Ransomware
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.