Niewykluczone, iż mamy do czynienia z pierwszym przypadkiem ataku ransomware, które naprawdę wykorzystuje AI, a w zasadzie to serwer modelu LLM do atakowania lokalnych hostów. Badacze z Eset przeanalizowali ransomware PromptLock (tak nazwane), które wykorzystuje lokalny silnik gpt-oss:20b od OpenAI. Działa to tak, iż silnik jest dostarczany do skompromitowanej sieci, instalowane jest oprogramowanie serwerowe, które przyjmuje prompty z zainfekowanych hostów, przetwarza je i odsyła odpowiedź. Serwer silnika generuje w czasie rzeczywistym złośliwe skrypty w języku LUA, które są następnie uruchamiane na zainfekowanych urządzeniach. LUA charakteryzuje się tym, iż stworzony skrypt w formie tekstowej (plik .lua) może być uruchomiony w Windows, Linux, macOS poprzez dostarczony interpreter lub zainstalowany wcześniej.
Ransomware PromptLock oferuje kilka możliwości:
- kradzież plików z dysku,
- szyfrowanie danych,
- niszczenie plików.
Odnaleziona próbka może świadczyć o tym, iż jest to dopiero pewna koncepcja szkodliwego oprogramowania, ponieważ nie wszystkie funkcje działają do końca dobrze.
Badacze ponoszą alarm, chcą uświadomić ludzi, którzy trudnią się cyberbezpieczeństwem, iż mogą pojawić się nowe ataki z wykorzystaniem zaufanych i legalnych narzędzi, które mogą być „pomijane” przez oprogramowanie zabezpieczające (potraktowane jako zaufane). Wektor ataku oczywiście się nie zmieni, bo w jakiś sposób skrypty, intepretery, silniki LLM muszą być dostarczone i zainstalowane w zaatakowanym środowisku, najczęściej poprzez słabo zabezpieczone serwery (Samba, Windows Server File Services, Microsoft Exchange), serwery baz danych (MySQL, PostgreSQL), usługi www (Apache HTTP Server, Nginx), usługi sieciowe (VPN, RDP). Dopiero wówczas, po uzyskaniu dostępu do serwerów, urządzeń, exploitacji systemów, systemu i pozyskaniu uprawnień administratora (lub w wyniku kradzieży poświadczeń), hakerzy są w stanie wykonać złośliwe akcje na przejętych maszynach.
Jak zaznacza jeden z ekspertów, „aby atak się powiódł, ofiara musi mieć serwer Ollama (nie jest to najlepszy sposób na uruchomienie LLM) i słabą segmentację sieci oraz brak barier ochronnych i mieć GPT OSS. Musi zezwolić na ruch wychodzący do portów i protokołów LLM. Całkiem sporo warunków wstępnych do „zwykłego” ataku.
Koncepcja ataku jest ciekawa, ale po drodze atakujący muszą stworzyć sobie pełny dostęp do zainstalowanej instancji serwera sztucznej inteligencji działającej lokalnie w sieci zaatakowanej firmy lub poza siecią, co będzie wymagało dostępności otworzenia dodatkowych portów, o ile ów zabezpieczenie występuje na urządzeniach brzegowych. Oczywiście to powoduje kolejne problemy i komplikuje atak.
Wzrost liczby złośliwego systemu opartego na sztucznej inteligencji może spowodować, iż pracy będzie jeszcze więcej, ale przez cały czas podstawową koncepcją cyberbezpieczeństwa pozostają szkolenia pracowników, odpowiednie zabezpieczenia na pierwszej linii, monitorowanie i analizowanie zdarzeń w obrębie całej infrastruktury.
Przy okazji tej koncepcji ataku warto przeczytać jeszcze jeden artykuł innego autora, pentestera, który stworzył własny koncept ataku ransomware z użyciem silnika LLM.
