PromptLock-Ransomware markiert einen bedeutenden Wandel in der Cyberkriminalität. Sicherheitsforscher haben sie als die erste Ransomware identifiziert, die von künstlicher Intelligenz angetrieben wird. Anders als herkömmliche Schadsoftware verwendet PromptLock ein lokales KI-Modell und dynamische Skripte, um Daten plattformübergreifend zu stehlen und zu verschlüsseln.
Wie PromptLock funktioniert
Die Ransomware arbeitet mit einem lokal laufenden KI-Sprachmodell. Anstelle einer festen Payload generiert sie Lua-Skripte, die sich bei jeder Ausführung anpassen. Diese Skripte übernehmen Aufgaben wie das Auffinden von Dateien, die Exfiltration von Daten und den Start der Verschlüsselung. Durch die Veränderung des Verhaltens bei jeder Ausführung umgeht PromptLock viele gängige Erkennungsmethoden.
Die Schadsoftware ist in Go geschrieben und nutzt einen leichtgewichtigen Verschlüsselungsalgorithmus namens SPECK 128-Bit. Obwohl dieser Algorithmus für Ransomware ungewöhnlich ist, funktioniert er effizient in der anvisierten Umgebung. Forscher stellten zudem ungenutzten Code fest, der auf geplante Datenvernichtung hindeutet, obwohl diese Funktion derzeit nicht aktiv ist.
Warum PromptLock wichtig ist
PromptLock-Ransomware zeigt, wie Angreifer KI einsetzen können, um unvorhersehbare und schwer erkennbare Bedrohungen zu schaffen. Herkömmliche Ransomware hinterlässt meist Muster, die Sicherheitswerkzeuge identifizieren können. PromptLock umgeht dies durch die Generierung nicht-deterministischen Codes. Selbst bei identischen Eingaben kann sich die Ransomware unterschiedlich verhalten, was die Analyse erschwert.
Ein weiterer Faktor ist ihre Unabhängigkeit von externen KI-Diensten. Da die Modelle lokal laufen, hinterlässt die Ransomware weniger Spuren für Ermittler und vermeidet Erkennungen, die mit der Nutzung von Online-APIs verbunden sind. Dieser Ansatz könnte künftige Ransomware-Familien dazu inspirieren, dieselbe Technik zu übernehmen.
Abwehrmaßnahmen
Sicherheitsteams müssen sich schnell anpassen. Experten empfehlen eine verstärkte Überwachung von Go-basierten ausführbaren Dateien und Lua-Skriptaktivitäten. Außerdem sollten lokale KI-Modelleinsätze genau beobachtet werden. Erkennungsmethoden müssen sich stärker auf Verhaltensanalysen stützen, anstatt auf klassische Signaturen zu vertrauen.
Fazit
PromptLock-Ransomware stellt den Beginn KI-getriebener Cyberkriminalität dar. Durch die Kombination lokaler Sprachmodelle mit adaptiven Skripten kann sie Daten verschlüsseln und stehlen, während sie schwer zu entdecken bleibt. Das Auftreten von PromptLock beweist, dass KI-gestützte Ransomware keine Theorie mehr ist. Organisationen müssen ihre Verteidigung jetzt stärken, bevor noch ausgefeiltere Versionen auftauchen.
0 Kommentare zu „PromptLock-Ransomware nutzt KI, um Daten zu verschlüsseln und zu stehlen“