La recente scoperta di PromptLock segna un momento di svolta nel panorama delle minacce informatiche: si tratta del primo esempio documentato di ransomware potenziato da intelligenza artificiale, individuato dai ricercatori di ESET e reso noto in questi giorni.
L’episodio dimostra come le tecniche criminali stiano rapidamente evolvendo, sfruttando strumenti originariamente concepiti per la ricerca e l’innovazione.
Indice degli argomenti
PromptLock: un proof-of-concept in fase di sviluppo
PromptLock non risulta ancora impiegato in campagne su larga scala, ma il codice analizzato rivela un prototipo avanzato.
Scritto in Golang e compilato sia per sistemi Windows che Linux, il malware (che utilizza l’algoritmo di cifratura SPECK a 128 bit) è stato individuato in campioni caricati su VirusTotal, segno che il progetto è già in fase di sperimentazione attiva.
La particolarità sta nell’integrazione di un modello linguistico locale, identificato come gpt-oss-20b, richiamato tramite l’API Ollama. Invece di basarsi su uno script fisso, PromptLock utilizza l’AI per generare in tempo reale codice malevolo in Lua, rendendo ogni esecuzione potenzialmente diversa dalla precedente.
Funzionalità già operative di PromptLock e scenari futuri
L’analisi dei campioni mostra che il ransomware è in grado di scandagliare il file system, selezionare i dati più rilevanti, esfiltrarli e successivamente procedere con la cifratura.
Sono state osservate anche istruzioni che lasciano intuire lo sviluppo di funzioni distruttive, come la cancellazione irreversibile dei file, non ancora chiaramente implementate ma verosimilmente possibili.
La caratteristica più preoccupante è la capacità di adattamento. Grazie alla generazione dinamica di script, ogni infezione può assumere tratti unici, rendendo inefficaci le tradizionali tecniche di rilevamento basate su firme statiche o comportamenti ricorrenti.
In pratica, il ransomware non segue più un copione fisso, ma può reinventarsi di volta in volta. La comparsa di PromptLock evidenzia come l’intelligenza artificiale stia diventando un ausilio sempre più efficace per gli attaccanti.
Mentre in passato la creazione di un ransomware richiedeva competenze tecniche avanzate e tempi di sviluppo significativi, oggi un modello linguistico può automatizzare buona parte del lavoro, accelerando il ciclo di produzione del malware.
Implicazioni per la sicurezza e prospettive
PromptLock non è soltanto un nuovo ransomware, ma un campanello d’allarme sul futuro del cyber crimine.
La capacità di sfruttare l’intelligenza artificiale per generare codice malevolo adattivo apre uno scenario inedito, in cui la velocità e l’imprevedibilità degli attacchi mettono seriamente alla prova le difese tradizionali.
Sebbene PromptLock appaia come un progetto sperimentale, tuttavia mette in luce come i modelli di intelligenza artificiale open source possano essere sfruttati per fini malevoli e con un utilizzo sempre più sofisticato.
“Indipendentemente dall’intento alla base di PromptLock, la sua scoperta indica come gli strumenti di intelligenza artificiale possano essere utilizzati per automatizzare varie fasi degli attacchi ransomware, dalla ricognizione all’esfiltrazione dei dati, a una velocità e su una scala un tempo ritenute impossibili. La prospettiva di un malware basato sull’intelligenza artificiale in grado, tra le altre cose, di adattarsi all’ambiente e modificare le proprie tattiche al volo potrebbe in generale rappresentare una nuova frontiera negli attacchi informatici”, scrive Anton Cherepanov, senior malware researcher di ESET che ha analizzato il malware insieme al collega Peter Strýček.
Le difese dovranno di conseguenza evolversi, puntando su metodologie proattive e su sistemi capaci di analizzare il comportamento dinamico delle minacce.
L’approccio statico, da solo, non sarà più sufficiente.
Al contempo sarà necessario rafforzare la sorveglianza sugli strumenti AI di uso pubblico, così da prevenire abusi che rischiano di tradursi in attacchi su larga scala.
