ESET entdeckt erste Ransomware mit Künstlicher Intelligenz
PromptLock zeigt, wie Cyberkriminelle KI für Angriffe nutzen könnten
 |
Mit solchen Prompts arbeitet die Schadsoftware (Copyright: ESET) |
Jena (pts012/27.08.2025/09:45)
Sicherheitsexperten von ESET haben eine neue Schadsoftware entdeckt, die Künstliche Intelligenz erstmals gezielt für Ransomware nutzt. Das Programm mit dem Namen PromptLock verwendet ein lokal installiertes KI-Sprachmodell, um im laufenden Angriff automatisch Skripte zu erzeugen. Genau das macht es so besonders. Die KI entscheidet selbst, welche Dateien durchsucht, kopiert oder verschlüsselt werden. Für IT-Sicherheitsforscher ist PromptLock ein deutliches Warnsignal.
Die Software generiert sogenannte Lua-Skripte, die plattformübergreifend auf Windows, Linux und macOS funktionieren. Je nach System durchsucht PromptLock lokale Dateien, analysiert sie und entscheidet anhand vorher festgelegter Textbefehle, ob Daten verschlüsselt oder ausgespäht werden. Eine Funktion zur Zerstörung von Dateien ist offenbar bereits vorbereitet, aber noch nicht aktiv.
Ein Vorgeschmack auf das, was noch kommen könnte
Für die Verschlüsselung verwendet PromptLock den SPECK-Algorithmus mit 128 Bit. Geschrieben wurde die Schadsoftware in der Programmiersprache Golang. Erste Varianten sind auf der Analyseplattform VirusTotal aufgetaucht. Zwar geht ESET derzeit davon aus, dass es sich um ein Proof-of-Concept handelt – also um eine Art Machbarkeitsstudie – doch die Gefahr sei real.
"Das Aufkommen von Werkzeugen wie PromptLock ist eine bedeutende Veränderung in der Cyber-Bedrohungslandschaft. Mit Hilfe von KI ist es nun wesentlich einfacher geworden, komplexe Angriffe zu starten – ohne dass Teams aus erfahrenen Entwicklern erforderlich sind. Ein gut konfiguriertes KI-Modell reicht heute aus, um komplexe, sich selbst anpassende Malware zu erstellen", sagt Anton Cherepanov, IT-Sicherheitsforscher bei ESET. "Bei ordnungsgemäßer Implementierung könnten solche Bedrohungen die Erkennung erheblich erschweren und die Cybersicherheit vor Herausforderungen stellen."
Die Software nutzt laut ESET ein frei verfügbares Sprachmodell, das lokal über eine API angesteuert wird. Die KI erstellt die Angriffsskripte also direkt auf dem infizierten Rechner – ohne Verbindung zur Cloud. Selbst die Bitcoin-Adresse für die Erpressung ist im Prompt eingebaut. Sie führt kurioserweise zu einem Wallet, das scheinbar dem Bitcoin-Erfinder Satoshi Nakamoto gehört.
ESET hat die technischen Details veröffentlicht, um die IT-Sicherheits-Community zu sensibilisieren. Das Unternehmen stuft PromptLock unter dem Namen Filecoder.PromptLock.A ein.
(Ende)| Aussender: | ESET Deutschland GmbH |
| Ansprechpartner: | Philipp Plum |
| Tel.: | +49 (0) 3641-3114-141 |
| E-Mail: | philipp.plum@eset.com |
| Website: | www.eset.de |
