Sicherheitsexperten von ESET haben eine neue Schadsoftware entdeckt, die künstliche Intelligenz erstmals gezielt für Ransomware nutzt. Das Programm mit dem Namen PromptLock verwendet ein lokal installiertes KI-Sprachmodell, um im laufenden Angriff automatisch Skripte zu erzeugen. Genau das macht es so besonders: Die KI entscheidet selbst, welche Dateien durchsucht, kopiert oder verschlüsselt werden.

Die Software generiert sogenannte Lua-Skripte, die plattformübergreifend auf Windows, Linux und macOS funktionieren. Je nach System durchsucht PromptLock lokale Dateien, analysiert sie und entscheidet anhand vorher festgelegter Textbefehle, ob Daten verschlüsselt oder ausgespäht werden. Eine Funktion zur Zerstörung von Dateien ist offenbar bereits vorbereitet, aber noch nicht aktiv.

Für die Verschlüsselung verwendet PromptLock den SPECK-Algorithmus mit 128 Bit. Geschrieben wurde die Schadsoftware in der Programmiersprache Golang. Erste Varianten sind auf der Analyseplattform VirusTotal aufgetaucht. Zwar geht ESET derzeit davon aus, dass es sich um ein Proof-of-Concept handelt – also um eine Art Machbarkeitsstudie – doch die Gefahr sei real und beschreibt das Aufkommen von Werkzeugen wie PromptLock als eine bedeutende Veränderung in der Cyber-Bedrohungslandschaft.

Die Software nutzt laut ESET ein frei verfügbares Sprachmodell, das lokal über eine API angesteuert wird. Die KI erstellt die Angriffsskripte also direkt auf dem infizierten Rechner – ohne Verbindung zur Cloud. Selbst die Bitcoin-Adresse für die Erpressung ist im Prompt eingebaut.