Przejdź do głównej zawartości

PromptLock – ransomware zasilane przez AI? Nowa era cyberataków

Eksperci z firmy ESET poinformowali o odkryciu koncepcji szkodliwego oprogramowania, które może być jednym z pierwszych przykładów ransomware wykorzystującego sztuczną inteligencję. Nowe zagrożenie nazwano PromptLock.

Jak działa PromptLock?

Złośliwe oprogramowanie instaluje w przejętej sieci lokalny serwer modelu językowego gpt-oss:20b. Taki silnik LLM odbiera prompty od zainfekowanych urządzeń, generuje w czasie rzeczywistym złośliwe skrypty w języku Lua, a następnie odsyła je do uruchomienia na hostach.

Dlaczego Lua? Ponieważ jest lekka, łatwa do interpretacji i działa zarówno w Windows, Linux, jak i macOS. Dzięki temu atak jest wyjątkowo uniwersalny.




Funkcje ransomware PromptLock

Na podstawie dotychczasowych analiz, malware potrafi:

  • wykradać pliki z dysku,

  • szyfrować dane,

  • usuwać dane z urządzeń.

Badacze podkreślają, że aktualnie wygląda to na prototyp lub testową wersję – nie wszystkie funkcje działają jeszcze w pełni poprawnie.

Dlaczego to groźne?

Specjaliści ostrzegają, że w przyszłości podobne ataki mogą wykorzystywać legalne i zaufane narzędzia, które często są pomijane przez systemy bezpieczeństwa. Wektor ataku pozostaje tradycyjny – przestępcy najpierw muszą uzyskać dostęp do sieci, serwerów czy baz danych (np. MySQL, PostgreSQL, Samba, Exchange, Apache, Nginx, VPN, RDP). Dopiero po zdobyciu odpowiednich uprawnień instalują własny serwer AI i uruchamiają złośliwe działania.

Eksperci zwracają uwagę, że aby taki atak był skuteczny, ofiara musi spełnić sporo warunków: brak segmentacji sieci, słabe zabezpieczenia, otwarte porty, działający lokalnie serwer AI (np. Ollama) i zezwolenie na ruch wychodzący do portów LLM. To sprawia, że w obecnej formie atak jest skomplikowany i nieoptymalny, ale kierunek rozwoju jest jasny – AI może zostać wykorzystane do automatyzacji i przyspieszania cyberataków.

Co dalej?

Rosnąca liczba zagrożeń opartych o sztuczną inteligencję oznacza, że branża cyberbezpieczeństwa musi przygotować się na nowe wyzwania. Wciąż jednak kluczowe pozostają:

  • szkolenie pracowników,

  • odpowiednia segmentacja sieci,

  • monitoring zdarzeń,

  • szybka reakcja na incydenty.

Podsumowanie

PromptLock może być pierwszym zwiastunem ransomware nowej generacji – oprogramowania, które korzysta z AI, by generować złośliwe kody w czasie rzeczywistym. Choć obecna wersja to raczej proof of concept niż w pełni rozwinięte narzędzie, eksperci nie mają wątpliwości: sztuczna inteligencja stanie się częścią krajobrazu cyberzagrożeń.

🔐 Chcesz dowiedzieć się, jak chronić swoją firmę przed nową falą zagrożeń opartych na AI? Skontaktuj się ze mną – pomogę Ci ocenić ryzyko, wzmocnić infrastrukturę i przygotować skuteczne procedury bezpieczeństwa.

Etykiety:

Komentarze

Prześlij komentarz

Popularne posty z tego bloga

Czym jest narzędzie Cloudflare IP Checker?

  Cloudflare IP Checker to skrypt, który pozwala sprawdzić, czy wskazane adresy IP mieszczą się w oficjalnych zakresach adresowych Cloudflare. Narzędzie pobiera na bieżąco aktualne listy adresów bezpośrednio z serwerów Cloudflare, dzięki czemu wyniki są zawsze zgodne ze stanem rzeczywistym. Takie rozwiązania stosowane są m.in. przez analityków bezpieczeństwa w procesach mapowania sieci i rekonesansu . Obsługiwane są zarówno adresy IPv4 , jak i IPv6 , a elastyczne metody podawania danych (pojedyncze IP, wiele adresów, pliki wejściowe) pozwalają dostosować sposób pracy do sytuacji. Najważniejsze funkcje narzędzia Checker opracowany przez Aardwolf Security posiada szereg praktycznych możliwości: pełna obsługa IPv4 i IPv6, dynamiczne pobieranie zakresów Cloudflare w czasie rzeczywistym, raportowanie z wykorzystaniem kolorów (np. zielony = adres Cloudflare, czerwony = spoza zakresu), obsługa błędów w przypadku niepoprawnych formatów IP, kody wyjścia umożliwiające in...
Prześlij komentarz
Czytaj więcej

Krytyczna luka bezpieczeństwa w HikCentral – CVE-2025-39247

28 sierpnia 2025 r. Hikvision Security Response Center (HSRC) opublikował oficjalne powiadomienie HSRC-202508-01 , informujące o poważnej luce bezpieczeństwa w oprogramowaniu HikCentral Professional , służącym do zarządzania instalacjami systemów bezpieczeństwa. Błąd został oznaczony jako CVE-2025-39247 i dotyczy wersji od v2.3.1 do v2.6.2 . Luka umożliwia nieautoryzowanej osobie uzyskanie dostępu na poziomie administratora , co w praktyce oznacza pełną kontrolę nad systemem monitoringu. Skala zagrożenia jest duża – ocena CVSS wynosi 8.6 , co klasyfikuje ten błąd jako krytyczny. Co to oznacza dla Ciebie? Jeśli Twoja instalacja działa na podatnej wersji HikCentral, istnieje ryzyko, że atakujący uzyska dostęp do wszystkich funkcji platformy – od podglądu kamer, po modyfikację ustawień czy wyłączanie systemu. W środowisku, gdzie monitoring stanowi podstawę bezpieczeństwa, taka sytuacja może prowadzić do poważnych konsekwencji. Hikvision zaleca natychmiastowe zaktualizowanie systemu d...
Prześlij komentarz
Czytaj więcej

5 błędów w komunikacji z biznesem, które sam popełniałem

Prowadząc jednoosobową firmę IT, zajmuję się głównie administracją – serwerami, systemami, bezpieczeństwem, kopią zapasową czy konfiguracją narzędzi. To praca, która z pozoru wydaje się czysto techniczna, ale w praktyce ogromną część mojego czasu zajmuje kontakt z klientem. Muszę tłumaczyć, co robię, dlaczego to robię i co klient z tego będzie miał. Innymi słowy: jestem jednocześnie administratorem, project managerem i marketingowcem. I właśnie w tej komunikacji najłatwiej o błędy, które potrafią zepsuć nawet dobrze wykonaną usługę. Oto pięć, które widzę najczęściej – i które sam również popełniałem. 1. Skupianie się na problemach zamiast na odpowiedzi Klient pyta: „czy możemy podnieść wydajność serwera?” albo „czy da się zrobić kopię zapasową?”. Naturalną reakcją jest zaczęcie wyliczania przeszkód: że system ma ograniczenia, że konfiguracja jest skomplikowana, że trzeba sprawdzić zgodność wersji. Dla klienta brzmi to jak: „nie da się”. A on wcale nie chce znać listy technicznych...
Prześlij komentarz
Czytaj więcej