Hoy no es un buen día para la seguridad informática, ya que recientemente, ESET Research ha descubierto al primer ransomware impulsado por inteligencia artificial (IA) que se haya conocido. La misma compañía ha bautizado a este malware con el nombre de PromptLock.
En palabras sencillas, PromptLock utiliza el modelo gpt-oss-20b de OpenAI de manera local a través de la API de Ollama. Luego, sobre la marcha genera diversos scripts maliciosos en lenguaje de programación Lua, los que posteriormente son ejecutados.
¿Cómo funciona en detalle el primer ransomware impulsado por IA?
PromptLock genera y utiliza scripts Lua a partir de indicaciones predefinidas para enumerar el sistema de archivos local, inspeccionar los archivos de destino, extraer datos seleccionados y realizar el cifrado. Estos scripts de Lua son compatibles con varios sistemas operativos populares, como es el caso de Windows, macOS y Linux.
Según ESET Research, el malware podría exfiltrar datos, cifrarlos o incluso destruirlos. Sin embargo, la función de destrucción parece no estar implementada aún. Es importante destacar que existen múltiples indicadores que sugieren que la muestra del ransomware es una prueba de concepto (PoC), o un trabajo en progreso en lugar de un malware completamente operativo e implementado. En este sentido, ESET cree que es parte de su responsabilidad informar a la comunidad de ciberseguridad sobre tales desarrollos.
Para su mecanismo de cifrado de archivos, el ransomware PromptLock utiliza el algoritmo de cifrado SPECK de 128 bits.
Otro antecedente interesante es la dirección Bitcoin utilizada en el mensaje de rescate, la que de momento parece pertenecer al creador de Bitcoin (Satoshi Nakamoto).
Por último, el ransomware PromptLock está desarrollado y escrito en Golang. De momento se han identificado variantes para Windows y Linux subidas a VirusTotal (plataforma de escaneo y repositorio de malware).
¿Qué te parece el eventual uso de la IA para la creación de malware?
