Kategorien

ESET-EXPERTEN HABEN DEN ERSTEN RANSOMWARE-VIRUS ENTDECKT, DER KI-BASIERTES LLM VERWENDET UND LOKAL AUSGEFÜHRT WIRD

Darüber hinaus generiert die ungewöhnliche Ransomware mit Hilfe der Skriptsprache Lua bösartigen Code in Echtzeit, wodurch sie noch schwerer abzuwehren und noch schwerer zu entdecken ist.
J.o.k.e.r
J.o.k.e.r
ESET-Experten haben den ersten Ransomware-Virus entdeckt, der KI-basiertes LLM verwendet und lokal ausgeführt wird

ESET-Experten haben vor kurzem einen sehr merkwürdigen Ransomware-Virus entdeckt, der ein echter Meilenstein zu sein scheint, da es sich um den ersten Ransomware-Virus handelt, der sich auf die Macht der KI verlässt, um effizientere und effektivere Angriffe durchzuführen, unterstützt von einem lokal laufenden LLM, was beispiellos ist - zumindest für bekanntere und bekanntere Ransomware-Viren.

Die Ransomware mit dem eleganten Namen PromptLock ist ein spezialisierter Leckerbissen, der in seinem Kern plattformübergreifende Ransomware ist, d. h. er kann nicht nur Windows, sondern auch Linux- und macOS-basierte Konfigurationen effektiv angreifen. Sie ist schwer zu erkennen, da sie sich aufgrund der von ihr verwendeten LLM immer etwas anders verhält, was es schwierig macht, ihr ein klares Muster zuzuordnen, weshalb sie so gefährlich ist.

Die Ransomware interagiert mit dem großen Sprachmodell über vorformulierte Eingabeaufforderungen, die möglicherweise nicht auf einem Remote-Server, sondern auf dem Zielcomputer ausgeführt werden, was es noch schwieriger macht, etwas dagegen zu unternehmen. Da das Endergebnis trotz der vorgefertigten Eingabeaufforderungen immer etwas anders ausfällt, ist es schwierig, die Ransomware zu erwischen, die das lokale Dateisystem durchforsten, Zieldateien analysieren, bestimmte Daten herausfiltern und natürlich Datenverschlüsselung betreiben kann, d. h. sie kann auch Benutzerdaten als Geiseln nehmen. Im Prinzip könnte die Routine auch in der Lage sein, Daten zu zerstören, aber diese Funktionalität ist noch nicht implementiert, aber es scheint, dass sie als Möglichkeit in Betracht gezogen wurde.

Seltsamerweise verwendet die Ransomware Lua-Skripte, was in diesem Bereich eine ungewöhnliche Wahl ist, da diese Programmiersprache hauptsächlich für Spiele, aber auch für Bildverarbeitung und Webanwendungen verwendet wird, da es sich um eine quelloffene, plattformunabhängige, einbettbare Skriptsprache handelt. Lua hat im Bereich der Ransomware mehrere Vorteile, wie z. B. gute Leistung, Unterstützung mehrerer Plattformen und einfache Verwendung.

PromptLock verwendet das große Sprachmodell gpt-oss:20b aus dem Hause OpenAI, aber da die Ransomware nicht mit Online-LLMs verbunden ist, verwendet sie nur eine lokal ausgeführte Version, was es schwierig macht, ihre Schöpfer auszuschalten. Da es sich um eine LLM handelt, ist das Endergebnis der eingebetteten Aufforderungen immer etwas anders, auch wenn sie auf demselben System, auf demselben Gerät und mit denselben Ausdrücken ausgeführt werden, was auf die nicht-deterministische Natur des Vorgangs zurückzuführen ist. Dies ist für die Ersteller von Ransomware nützlich, da es schwierig ist, ein klares Muster mit einer bestimmten Art von Ransomware in Verbindung zu bringen und sich daher schwer dagegen zu wehren.

Der bösartige Code wird von der Ransomware mit Hilfe der Ollama-API und der oben erwähnten LLM in Form von Skripten in der Programmiersprache Lua in Echtzeit generiert, was dazu beiträgt, die Erkennung durch Abwehrsoftware zu verringern. Dies ist eine reale Bedrohung, die in dem Maße zunehmen wird, in dem Malware-Autoren immer kreativer werden und das Potenzial von LLMs, die an Ort und Stelle ausgeführt werden, ausnutzen. Da immer mehr Prozessoren über NPUs verfügen - und dies auch in Zukunft tun werden -, die solche Angriffe unterstützen können, indem sie LLMs, die an Ort und Stelle ausgeführt werden, beschleunigen, wird die Bedrohung zunehmen und immer mehr Nutzer betreffen, so dass es an der Zeit ist, sich auf neue Angriffsmöglichkeiten mit neuen Abwehrmaßnahmen vorzubereiten, bevor es zu spät ist...

Wir empfehlen Ihnen gerne

    Teste

      Diesbezügliche Artikel

      Zurück zum Seitenanfang