ОБНОВЛЕНИЕ (3 сентября 2025 г.): ESET Research получил информацию от авторов академического исследования Ransomware 3.0: Self-Composing and LLM-Orchestrated, чей исследовательский прототип очень похож на образцы PromptLock, обнаруженные на VirusTotal.Это подтверждает наше предположение, что PromptLock был скорее proof of concept, чем полностью рабочим вредоносным ПО, развернутым в реальных атаках. Тем не менее, наши выводы остаются верными – обнаруженные образцы представляют собой первый известный случай использования ИИ в вымогателях.
Исследователи ESET обнаружили первый известный ИИ-вымогатель. Вредоносное ПО, которое ESET назвала PromptLock, способно извлекать, шифровать и, возможно, даже уничтожать данные, хотя последняя функция, похоже, еще не реализована в вредоносном ПО.
Хотя PromptLock не был замечен в реальных атаках и считается скорее proof-of-concept (PoC) или недоделанным продуктом, открытие ESET показывает, как злонамеренное использование общедоступных ИИ-инструментов может усилить вымогателей и другие распространенные киберугрозы.
«Вредоносное ПО PromptLock использует модель gpt-oss-20b от OpenAI локально через Ollama API для генерации вредоносных скриптов Lua на лету, которые затем исполняет. PromptLock использует скрипты Lua, сгенерированные из встроенных подсказок, для перечисления локальной файловой системы, проверки целевых файлов, извлечения выбранных данных и выполнения шифрования», — сообщили исследователи ESET.
«Вымогатель PromptLock написан на Golang, и мы идентифицировали как варианты для Windows, так и для Linux, загруженные на VirusTotal», — добавили исследователи. Golang — это очень универсальный кроссплатформенный язык программирования, который в последние годы также набирает популярность среди авторов вредоносного ПО.
Было неизбежно
ИИ-модели сделали детской забавой создание убедительных фишинговых сообщений, а также дипфейк изображений, аудио и видео. Свободная доступность этих инструментов также значительно снижает порог входа для менее технически подкованных злоумышленников, позволяя им действовать намного эффективнее, чем ожидалось.
Тем временем, бич вымогателей на протяжении многих лет испытывал киберстойкость бесчисленных организаций, причем этот тип вредоносного ПО также все чаще используется APT-группами. Поскольку ИИ уже используется всеми типами злоумышленников в разной степени, он также будет способствовать увеличению объема и воздействия атак вымогателей.
Независимо от намерений, стоящих за PromptLock, его обнаружение указывает на то, как ИИ-инструменты могут использоваться для автоматизации различных этапов атак вымогателей, от разведки до извлечения данных, со скоростью и масштабом, которые когда-то считались невозможными. Перспектива вредоносного ПО на базе ИИ, которое, среди прочего, может адаптироваться к среде и менять тактику на лету, может стать новым рубежом в кибератаках.
Чтобы узнать о последних тенденциях в области вымогателей и более широком ландшафте угроз, прочитайте Отчет ESET об угрозах H1 2025. Также рекомендуем ознакомиться с этим техническим документом ESET, в котором рассматриваются риски и возможности ИИ для киберзащитников.
IoCs
Файлы
| SHA-1 | Обнаружение | Описание |
| 24BF7B72F54AA5B93C66 |
Linux/Filecoder.PromptLock.A | Образец PromptLock |
| AD223FE2BB4563446AEE |
Linux/Filecoder.PromptLock.A | Образец PromptLock |
| BB8FB75285BCD151132A |
Linux/Filecoder.PromptLock.A | Образец PromptLock |
| F3F4C40C344695388E10 |
Linux/Filecoder.PromptLock.A | Образец PromptLock |
| 639DBC9B365096D63471 |
WinGo/Filecoder.PromptLock.A | Образец PromptLock |
| 161CDCDB46FB8A348AEC |
WinGo/Filecoder.PromptLock.A | Образец PromptLock |
| 8C7BCAFCE90F5FB12113 |
WinGo/Filecoder.PromptLock.A | Образец PromptLock |