Los investigadores advierten que una nueva cepa de ransomware que evoluciona rápidamente utiliza un modelo OpenAI para generar y ejecutar código malicioso en tiempo real, lo que marca el comienzo de una nueva era de ciberataques contra las empresas.

Probablemente era inevitable: los analistas detectaron la primera cepa de ransomware conocida impulsada por inteligencia artificial. 

Los investigadores de malware de ESET, Anton Cherepanov y Peter Strycek, descubrieron la cepa emergente, a la que denominaron "PromptLock". Aunque aún no se ha observado en ciberataques activos, los investigadores afirmaron que el ransomware PromptLock parece estar en desarrollo y casi listo para ser liberado en el panorama de amenazas. 

Si bien los actores de amenazas han utilizado herramientas de IA generativa para desarrollar malware , PromptLock parece ser el primer caso de ransomware que utiliza un modelo de IA como motor. En una publicación en LinkedIn , Cherepanov informó que PromptLock aprovecha el modelo gpt-oss:20b de OpenAI localmente mediante la API de Ollama para crear nuevos scripts sobre la marcha y en tiempo real. 

Cómo funciona PromptLock

En la publicación de LinkedIn, Cherepanov afirmó que el script de ransomware actualmente puede exfiltrar archivos y cifrar datos, y que se encuentra en proceso de actualización para destruirlos. "Si bien múltiples indicadores sugieren que la muestra es una prueba de concepto (PoC) o un proyecto en desarrollo, más que una amenaza operativa en la práctica, creemos que es crucial concienciar a la comunidad de ciberseguridad sobre estos riesgos emergentes", añadió. 

En una declaración a Dark Reading, los investigadores de ESET explicaron cómo el ransomware impulsado por IA podría representar problemas para los defensores: «PromptLock utiliza scripts Lua generados por IA, lo que significa que los indicadores de compromiso (IoC) pueden variar entre ejecuciones», afirmaba el comunicado. «Esta variabilidad presenta dificultades para la detección. Si se implementa correctamente, este enfoque podría complicar significativamente la identificación de amenazas y dificultar la labor de los defensores». 

Cherepanov y Strycek seguirán investigando PromptLock, pero querían alertar rápidamente a los ciberdefensores sobre la amenaza. De hecho, Cherepanov afirmó que compartieron sus hallazgos en redes sociales tan solo 18 horas después de que VirusTotal detectara muestras de la cepa de ransomware. 

"No sabemos quién creó el malware, pero sí sabemos que fue subido a VirusTotal desde Estados Unidos", dijeron los investigadores de ESET en un comunicado. 

En una serie de publicaciones en la plataforma de redes sociales X, ESET indicó que PromptLock está escrito en el lenguaje de programación Go y que se habían subido a VirusTotal variantes para sistemas Windows y Linux. Además, ESET indicó que la dirección de Bitcoin del ransomware para pagos parece pertenecer al misterioso creador de Bitcoin, Satoshi Nakamoto. 

Actualmente, los actores de amenazas utilizan ampliamente herramientas de inteligencia artificial para crear contenido de phishing atractivo y sitios maliciosos , pero aplicar la tecnología para impulsar ransomware a medida en tiempo real presenta un desafío completamente nuevo para los defensores. 

"El auge del malware impulsado por IA representa una nueva frontera en ciberseguridad", afirmó Cherepanov. "Al compartir estos hallazgos, esperamos impulsar el debate, la preparación y la investigación en toda la industria". 

Fuente: https://www.darkreading.com/vulnerabilities-threats/ai-powered-ransomware-promptlock