Eset découvre un ransomware piloté par l’IA
Des spécialistes en sécurité d’Eset ont identifié un nouveau logiciel malveillant nommé «PromptLock». Ce ransomware utilise un LLM installé localement pour générer de manière autonome des scripts d’attaque et décider quels fichiers chiffrer ou exfiltrer.
Le fournisseur slovaque de cybersécurité Eset a découvert un logiciel malveillant qui utilise l’intelligence artificielle pour créer automatiquement des scripts d’attaque. Ce malware, baptisé «PromptLock», exploite un grand modèle de langage (LLM) local capable de générer automatiquement des scripts d’attaque et de choisir lui-même, en pleine opération, quels fichiers consulter, copier ou chiffrer.
Pour fonctionner, la menace génère des scripts Lua, de petits fichiers de commande écrits dans un langage réputé pour sa flexibilité. Cela permet au malware d’opérer de manière multiplateforme sous Windows, Linux et macOS. Selon Eset, une capacité de destruction de fichiers est déjà intégrée, mais n’aurait pas encore été activée.
Le logiciel malveillant, développé en Golang, recourt à l’algorithme de chiffrement Speck 128 bits, une méthode de chiffrement relativement légère. Les premières variantes sont apparues sur la plateforme d’analyse VirusTotal. Selon l’entreprise spécialisée en cybersécurité, il s’agit d’un proof of concept, une étude de faisabilité destinée à démontrer ce qui est techniquement réalisable.
«L’émergence d’outils comme PromptLock constitue un changement significatif dans le paysage des cybermenaces», déclare Anton Cherepanov, chercheur en sécurité informatique chez Eset. Avec l’aide de l’IA, il est devenu nettement plus simple de lancer des attaques complexes. Un modèle d’IA bien configuré suffit déjà à créer des malwares auto‑adaptatifs. «S’ils sont correctement mis en œuvre, de tels risques pourraient compliquer considérablement la détection et poser de sérieux défis à la cybersécurité.»
Selon Eset, le logiciel utilise un modèle de langage librement disponible et le pilote localement via une API. Il génère ainsi les scripts d’attaque directement sur la machine infectée, sans connexion au cloud. Plus surprenant encore, l’adresse Bitcoin indiquée pour le paiement de la rançon mènerait à un portefeuille associé au mystérieux créateur du Bitcoin, Satoshi Nakamoto.
