Un nouveau type de rançongiciel, baptisé PromptLock, utilise l'intelligence artificielle générative pour créer dynamiquement des scripts qui infectent les systèmes. PromptLock est conçu pour fonctionner sous Windows, macOS et Linux. Il utilise le modèle de langage open source OpenAI, qui génère localement des scripts spécifiques à l'environnement du système ciblé. Cela empêche les ransomwares de laisser des traces répétitives, ce qui complique leur identification et leur analyse. Selon les experts d'ESET, le malware s'appuie sur des scripts Lua, générés à partir de messages écrits dans le code. Ces scripts permettent l'énumération du système de fichiers local, l'analyse de données sélectionnées, leur transfert hors réseau et leur chiffrement. La version actuelle n'intègre pas encore de fonction de destruction permanente des données, mais les chercheurs n'excluent pas sa présence dans de futures itérations de la menace. Lua, principalement associé aux moteurs de jeu et aux plugins de développement, s'est avéré être un outil idéal pour les cybercriminels. Rapide, facile à mettre en œuvre et compatible avec les environnements multiplateformes, il permet de générer efficacement du code malveillant, fonctionnant de manière transparente sur diverses configurations matérielles.

L'une des caractéristiques de l'IA générative est son non-déterminisme. Cela signifie que même avec un ensemble identique de données d'entrée, le modèle génère un résultat différent à chaque fois. Cela représente un défi majeur pour les chercheurs en sécurité, car cela empêche d'attribuer des signatures spécifiques à une famille de logiciels malveillants spécifique. Les opérateurs de ransomware disposent ainsi d'un outil leur permettant de créer des scripts imprévisibles et difficiles à détecter. Les chercheurs d'ESET soulignent que PromptLock utilise l'API locale d'Ollama pour gérer le modèle gpt-oss:20b, garantissant ainsi que tous les processus de génération de code se déroulent sur les ordinateurs des cybercriminels. Ce mécanisme empêche OpenAI de surveiller ou de bloquer les requêtes, ce qui complique considérablement l'identification de la source de l'attaque. Les experts soulignent que l'émergence de rançongiciels utilisant des modèles de langage avancés pourrait ouvrir une nouvelle ère en matière de cybermenaces. La génération de code dynamique permet aux attaquants de s'adapter plus rapidement aux mesures de sécurité et de créer des attaques plus complexes et personnalisées.