ОБНОВЛЕНИЕ (3 сентября 2025 г.): ESET Research получил информацию от авторов академического исследования Ransomware 3.0: Self-Composing and LLM-Orchestrated, чей исследовательский прототип очень похож на образцы PromptLock, обнаруженные на VirusTotal.
Это подтверждает наше предположение, что PromptLock был скорее proof of concept, чем полностью рабочим вредоносным ПО, развернутым в реальных атаках. Тем не менее, наши выводы остаются верными – обнаруженные образцы представляют собой первый известный случай использования ИИ в вымогателях.

Исследователи ESET обнаружили первый известный ИИ-вымогатель. Вредоносное ПО, которое ESET назвала PromptLock, способно извлекать, шифровать и, возможно, даже уничтожать данные, хотя последняя функция, похоже, еще не реализована в вредоносном ПО.

Хотя PromptLock не был замечен в реальных атаках и считается скорее proof-of-concept (PoC) или недоделанным продуктом, открытие ESET показывает, как злонамеренное использование общедоступных ИИ-инструментов может усилить вымогателей и другие распространенные киберугрозы.

«Вредоносное ПО PromptLock использует модель gpt-oss-20b от OpenAI локально через Ollama API для генерации вредоносных скриптов Lua на лету, которые затем исполняет. PromptLock использует скрипты Lua, сгенерированные из встроенных подсказок, для перечисления локальной файловой системы, проверки целевых файлов, извлечения выбранных данных и выполнения шифрования», — сообщили исследователи ESET.

«Вымогатель PromptLock написан на Golang, и мы идентифицировали как варианты для Windows, так и для Linux, загруженные на VirusTotal», — добавили исследователи. Golang — это очень универсальный кроссплатформенный язык программирования, который в последние годы также набирает популярность среди авторов вредоносного ПО.

Было неизбежно

ИИ-модели сделали детской забавой создание убедительных фишинговых сообщений, а также дипфейк изображений, аудио и видео. Свободная доступность этих инструментов также значительно снижает порог входа для менее технически подкованных злоумышленников, позволяя им действовать намного эффективнее, чем ожидалось.

Тем временем, бич вымогателей на протяжении многих лет испытывал киберстойкость бесчисленных организаций, причем этот тип вредоносного ПО также все чаще используется APT-группами. Поскольку ИИ уже используется всеми типами злоумышленников в разной степени, он также будет способствовать увеличению объема и воздействия атак вымогателей.

Независимо от намерений, стоящих за PromptLock, его обнаружение указывает на то, как ИИ-инструменты могут использоваться для автоматизации различных этапов атак вымогателей, от разведки до извлечения данных, со скоростью и масштабом, которые когда-то считались невозможными. Перспектива вредоносного ПО на базе ИИ, которое, среди прочего, может адаптироваться к среде и менять тактику на лету, может стать новым рубежом в кибератаках.

Чтобы узнать о последних тенденциях в области вымогателей и более широком ландшафте угроз, прочитайте Отчет ESET об угрозах H1 2025. Также рекомендуем ознакомиться с этим техническим документом ESET, в котором рассматриваются риски и возможности ИИ для киберзащитников.

IoCs

Файлы

SHA-1 Обнаружение Описание
24BF7B72F54AA5B93C6681B4F69E579A47D7C102 Linux/Filecoder.PromptLock.A Образец PromptLock
AD223FE2BB4563446AEE5227357BBFDC8ADA3797 Linux/Filecoder.PromptLock.A Образец PromptLock
BB8FB75285BCD151132A3287F2786D4D91DA58B8 Linux/Filecoder.PromptLock.A Образец PromptLock
F3F4C40C344695388E10CBF29DDB18EF3B61F7EF Linux/Filecoder.PromptLock.A Образец PromptLock
639DBC9B365096D6347142FCAE64725BD9F73270 WinGo/Filecoder.PromptLock.A Образец PromptLock
161CDCDB46FB8A348AEC609A86FF5823752065D2 WinGo/Filecoder.PromptLock.A Образец PromptLock
8C7BCAFCE90F5FB121131ECB27346ECFC6E961C5 WinGo/Filecoder.PromptLock.A Образец PromptLock

Читать полный анализ на WeLiveSecurity →