Source: ESET Research, via un post sur Bluesky. Contexte: les chercheurs affirment avoir découvert le premier ransomware piloté par IA, baptisé PromptLock.

• PromptLock s’appuie sur le modèle « gpt-oss:20b » d’OpenAI exécuté localement via l’API Ollama pour générer à la volée des scripts Lua malveillants, puis les exécuter. Ces scripts, produits à partir de prompts codés en dur, servent à énumérer le système de fichiers, inspecter des fichiers cibles, exfiltrer certaines données et chiffrer des contenus. Ils sont multiplateformes et fonctionnent sous Windows, Linux et macOS 🤖🔒.

• Selon les fichiers utilisateur détectés, le malware peut exfiltrer les données, les chiffrer, voire potentiellement les détruire (cette dernière fonctionnalité n’apparaît pas encore implémentée). Un adresse Bitcoin mentionnée dans le prompt semblerait appartenir au créateur de Bitcoin.

• Pour le chiffrement des fichiers, PromptLock utilise l’algorithme SPECK 128-bit. Le ransomware est écrit en Golang, avec des variantes Windows et Linux identifiées sur VirusTotal.

• ESET précise que plusieurs indicateurs laissent penser qu’il s’agit d’un proof-of-concept ou d’un travail en cours, plutôt qu’un malware pleinement opérationnel déployé in-the-wild, et publie ces informations pour alerter la communauté.

IoCs fournis:

  • Détection: Filecoder.PromptLock.A
  • Hashes:
    • 24BF7B72F54AA5B93C6681B4F69E579A47D7C102
    • AD223FE2BB4563446AEE5227357BBFDC8ADA3797
    • BB8FB75285BCD151132A3287F2786D4D91DA58B8
    • F3F4C40C344695388E10CBF29DDB18EF3B61F7EF
    • 639DBC9B365096D6347142FCAE64725BD9F73270
    • 161CDCDB46FB8A348AEC609A86FF5823752065D2

TTPs observés:

  • Usage d’un LLM local via Ollama (modèle « gpt-oss:20b ») pour générer dynamiquement des scripts Lua.
  • Énumération du système de fichiers, inspection et sélection de fichiers.
  • Exfiltration de données et chiffrement (algorithme SPECK-128).
  • Multiplateforme (Windows, Linux, macOS) et écrit en Go.

Il s’agit d’une publication de recherche visant principalement à informer la communauté sur une nouvelle approche de ransomware piloté par IA, avec partage d’IoCs.

🧠 TTPs et IOCs détectés

TTP

[‘Usage d’un LLM local via Ollama pour générer dynamiquement des scripts Lua’, ‘Énumération du système de fichiers’, ‘Inspection et sélection de fichiers’, ‘Exfiltration de données’, ‘Chiffrement avec l’algorithme SPECK-128’, ‘Multiplateforme (Windows, Linux, macOS)’, ‘Écrit en Go’]

IOC

[‘24BF7B72F54AA5B93C6681B4F69E579A47D7C102’, ‘AD223FE2BB4563446AEE5227357BBFDC8ADA3797’, ‘BB8FB75285BCD151132A3287F2786D4D91DA58B8’, ‘F3F4C40C344695388E10CBF29DDB18EF3B61F7EF’, ‘639DBC9B365096D6347142FCAE64725BD9F73270’, ‘161CDCDB46FB8A348AEC609A86FF5823752065D2’]

🔗 Source originale : https://bsky.app/profile/esetresearch.bsky.social/post/3lxctuaf4222t