זה מה שחסר לנו: כופרה מופעלת באמצעות AI

נחשפה גרסה חדשה של כופרה, המופעלת על ידי בינה מלאכותית, בשם PromptLock. לפי אנטון צ'רפנוב ופיטר סטרייצ'ק, חוקרי ESET, הגרסה החדשה שזוהתה נכתבה בשפת הפיתוח גולאנג (Golang), ועושה שימוש במודל GPT-oss:20b של OpenAI, באמצעות API של Ollama. זאת, כדי ליצור סקריפטים זדוניים של Lua בזמן אמת. מודל השפה שוחרר על ידי OpenAI באחרונה.

"PromptLock ממנפת סקריפטים של Lua שנוצרו מהנחיות מקודדות, כדי לספור את מערכת הקבצים המקומית, לבדוק קבצי יעד, לסנן נתונים נבחרים ולבצע הצפנה", אמרו חוקרי ESET. "סקריפטים אלה של Lua תואמים לפלטפורמות שונות, ועובדים בחלונות, לינוקס ו-macOS".

#ESETResearch has discovered the first known AI-powered ransomware, which we named #PromptLock. The PromptLock malware uses the gpt-oss:20b model from OpenAI locally via the Ollama API to generate malicious Lua scripts on the fly, which it then executes 1/6 pic.twitter.com/wUZS7Fviwi

— ESET Research (@ESETresearch) August 26, 2025

היכן הכופרה עומדת כעת?

לא ידוע מי עומד מאחורי הנוזקה. פרטיה הועלו על ידי צמד החוקרים של חברת הגנת הסייבר הסלובקית למאגר של VirusTotal בסוף אוגוסט. החוקרים ציינו כי הכופרה לא נצפתה בפעולה על קורבן, מה שמחזק את ההשערה כי היא עדיין בשלב הפיתוח ובדיקת היתכנות. עדות נוספת לכך שהפיתוח טרם הושלם היא שבנוזקה נמסרה כתובת ביטקוין. זו ניתנת לטובת העברת דמי הכופר מצד הקורבן להאקרים, אלא שבמקרה זה הכתובת הייתה של היוצר האנונימי של המטבע הקריפטוגרפי סאטושי נקמוטו.

"PromptLock משתמשת בסקריפטים של Lua שנוצרו על ידי AI, מה שאומר שאינדיקטורים לפשרה (IoC) עשויים להשתנות", ציינו החוקרים, "זה מציב אתגרים בזיהוי. אם היא תיושם כראוי על ידי הרעים, גישה זו עלולה לסבך משמעותית את זיהוי האיומים ולהקשות על משימות המגנים". 

מלבד הצפנה, ניתוח של הכופרה מצביע על כך שניתן להשתמש בה גם כדי לחלץ נתונים או אפילו להשמיד אותם. החוקרים ציינו כי יכולות המחיקה עדיין לא יושמו.

"הופעת PromptLock היא סימן נוסף לכך שבינה מלאכותית הקלה על פושעי סייבר, גם כאלה חסרי מומחיות טכנית, ביכולתם להקים במהירות קמפייני תקיפה חדשים בסייבר, לפתח נוזקות, ליצור תוכן פישינג משכנע ואתרים זדוניים", ציינו מומחי אבטחה. המומחים הזכירו, שוב, כי "למרות שילוב של חסמי אבטחה ובטיחות חזקים, למניעת התנהגויות לא רצויות, מודלים של AI נוטים לפעול באופן לא מתוכנן, או לא כפי שהמשתמשים ציפו מהם. זה מדגיש את המורכבות והאופי המתפתח של אתגר האבטחה בעידן ה-AI". החדשות הטובות, לדברי שני החוקרים, הן שנראה שהנוזקה – עדיין – לא מתפקדת באופן מלא.