ESET обнаружила ИИ-вымогателя PromptLock, который сам решает — шифровать, удалять или уничтожать данные

Исследователи ESET рассказали о необычной находке: они выявили PromptLock — первую известную программу-вымогателя, в которой ключевую роль играет генеративный ИИ. Если раньше GenAI чаще связывали с фишингом и мошенническими текстами, то теперь технология, как отмечают специалисты, уже применяется и для создания шифровальщиков, причем в более «гибком» формате.

Как устроена схема работы

По данным отчета ESET Research, PromptLock способен динамически генерировать вредоносные сценарии и сразу же запускать их. Для этого используется модель OpenAI, к которой обращаются через Ollama API. Внутри решения предусмотрены два базовых элемента:

1. статический основной модуль — он отвечает за связь с сервером, где запущена ИИ-модель, и отправляет заранее заданные запросы;
2. кроссплатформенные Lua-скрипты — их уже формирует сама модель на основе полученных промптов, после чего эти сценарии выполняются на системе жертвы.

Что именно делают сгенерированные скрипты

ESET уточняет, что набор действий у PromptLock довольно широкий. Сценарии могут:

• перебирать локальную файловую систему и собирать сведения о данных;
• фильтровать найденную информацию;
• запускать шифрование.

При этом важная деталь — вредонос способен сам «оценивать» ситуацию на устройстве и выбирать, что делать с обнаруженными данными: удалить их, зашифровать или попросту уничтожить.

Насколько это опасно прямо сейчас

В ESET подчеркивают: на текущем этапе PromptLock — это proof-of-concept, то есть демонстрация возможностей, а не массовая угроза, поэтому вероятность столкнуться с ним «в дикой природе» пока невысока. Но сам факт появления такого инструмента, по мнению компании, должен настораживать. Старший исследователь ESET по вредоносным программам Антон Черепанов заявил, что подобные разработки меняют ландшафт киберугроз: ИИ снижает порог входа, и для сложных атак уже не всегда нужны команды опытных разработчиков. При грамотной реализации такие решения могут усложнить обнаружение и заметно добавить работы защитникам.

Параллельно растут и NFC-угрозы

Отдельно ESET обращает внимание на вредоносные программы, связанные с NFC: во второй половине года объем телеметрии по этой категории вырос на 87%, а также появилось несколько заметных обновлений. В качестве примера приводится NGate — одна из ранних NFC-угроз, которую доработали, добавив функциональность кражи контактов.

Какие меры защиты остаются актуальными

На фоне ИИ-угроз и роста NFC-вредоносов эксперты советуют не искать «волшебную кнопку», а держаться базовых принципов, которые по-прежнему работают:

• регулярно обновлять ОС, браузеры и средства защиты, снижая вероятность успешной атаки;
• использовать надежную защиту конечных точек и включать поведенческое обнаружение, а не полагаться только на сигнатуры;
• осторожно относиться к неожиданным файлам, установщикам и «инструментам», особенно тем, что обещают ускорение работы или «ИИ-функции»;
• ограничивать права администратора, чтобы злоумышленнику было сложнее шифровать или уничтожать данные;
• делать регулярные автономные резервные копии и обучать сотрудников, поскольку именно это часто решает исход атаки вымогателей.