Vírusový radar / PromptLock, prvý ransomvér poháňaný umelou inteligenciou

Najpoužívanejšie slová na Slovensku sú v týchto týždňoch konsolidácia verejných financií a uťahovanie opaskov, ktoré sa dotýka azda každého okrem tých, ktorí sú pri moci. No v našom výskume sa nedávno podarilo objaviť niečo, čo zas zarezonovalo v celosvetovej kyberbezpečnostnej komunite a aj v zahraničných médiách. Identifikovali sme nový typ ransomvéru, ktorý na realizáciu útokov využíva generatívnu umelú inteligenciu. Ide o prvý ransomvér svojho druhu a významný objav a predstavuje ďalšiu evolučnú úroveň kybernetických hrozieb.

Malvér, ktorý sme nazvali PromptLock, spúšťa lokálne dostupný jazykový model umelej inteligencie, ktorý v reálnom čase generuje škodlivé skripty. Počas infekcie AI autonómne rozhoduje, ktoré súbory vyhľadať, skopírovať alebo zašifrovať, čo môže znamenať zásadný zlom v spôsobe, ako kybernetickí zločinci operujú.

PromptLock vytvára Lua skripty kompatibilné s viacerými platformami vrátane Windows, Linux a Mac OS. Prehľadáva lokálne súbory, analyzuje ich obsah a na základe preddefinovaných textových promptov rozhoduje, či dáta exfiltrovať, alebo zašifrovať. Táto deštruktívna funkcia je v kóde už prítomná, hoci bola neaktívna.

ESET považoval PromptLock za dôkaz konceptu, no hrozba, ktorú predstavuje, je veľmi reálna. Neskôr sa ku škodlivému kódu ako autori prihlásili študenti Newyorskej univerzity, ktorí si chceli overiť detekciu svojej hrozby. U nás si myslíme, že programovať malvér, aby sme si dokázali, že sa to dá, nie je najlepší výskumný prístup. Hlavne keď sa s pomocou umelej inteligencie spustenie sofistikovaných útokov stalo dramaticky jednoduchším, a ako sa ukazuje, už nie je potrebný tím skúsených vývojárov. 

„Dobre nakonfigurovaný model umelej inteligencie dnes postačuje na vytvorenie komplexného, samostatne sa prispôsobujúceho škodlivého kódu. V prípade správneho nasadenia by takáto hrozba mohla výrazne skomplikovať detekciu a urobiť prácu kybernetických ochrancov oveľa náročnejšou,“ napísal náš výskumník Anton Cherepanov, ktorý urobil objav spolu s ďalším naším výskumníkom Petrom Strýčkom.

Takisto sme nedávno odhalili prvé známe prípady spolupráce medzi skupinami Gamaredon a Turla. Obe sú spájané s hlavnou ruskou spravodajskou službou FSB a spoločne útočili na významné ciele na Ukrajine. Na napadnutých zariadeniach Gamaredon nasadil širokú škálu nástrojov a na jednom z týchto zariadení dokázala Turla vydávať príkazy prostredníctvom implantov Gamaredon.

„V priebehu tohto roka ESET detegoval skupinu Turla na siedmich zariadeniach na Ukrajine. Keďže Gamaredon kompromituje stovky, ak nie tisíce zariadení, naznačuje to, že Turla má záujem len o konkrétne zariadenia, pravdepodobne tie, ktoré obsahujú vysoko citlivé informácie,“ myslí si ďalší náš výskumník Matthieu Faou, ktorý spoluprácu ruských skupín objavil spolu s kolegom Zoltánom Rusnákom.

Zaujímavé je, že vo februári 2025 ESET Research zaznamenal spustenie backdooru Kazuar od Turly prostredníctvom nástrojov Gamaredon PteroGraphin a PteroOdd na jednom zariadení na Ukrajine. Kazuar v3 je pokročilý špionážny implant, ktorý používa výhradne skupina Turla.

Obe skupiny sú pritom súčasťou ruskej FSB. Podľa ukrajinskej bezpečnostnej služby Gamaredon údajne prevádzkujú dôstojníci Centra 18 FSB (známeho aj ako Centrum pre informačnú bezpečnosť) na Kryme, ktoré je súčasťou kontrarozviedky FSB. Pokiaľ ide o Turlu, britské Národné centrum kybernetickej bezpečnosti pripisuje túto skupinu Centru 16 FSB, čo je hlavná agentúra pre signálnu rozviedku v Rusku. Z organizačného hľadiska stojí za zmienku, že subjekty spájané so skupinami Turla a Gamaredon majú dlhú históriu údajnej spolupráce, ktorá siaha až do obdobia studenej vojny. Invázia na Ukrajinu v roku 2022 pravdepodobne túto konvergenciu ešte posilnila, pričom údaje ESET jasne ukazujú, že aktivity Gamaredonu a Turly sa v posledných mesiacoch zameriavajú na ukrajinský obranný sektor.

No a do tretice finálny objav nášho výskumníka Martina Smolára, ktorý bol trochu návratom do minulosti. A hoci bootkit a ransomvér HybridPetya je napodobenina známeho malvéru Petya/NotPetya, pridáva schopnosť kompromitovať UEFI a zneužívať zraniteľnosť CVE-2024-7344 na obídenie UEFI Secure Boot v zastaraných systémoch. Útok deštruktívnym malvérom, ktorý v roku 2017 zasiahol Ukrajinu a mnohé ďalšie krajiny, je považovaný za najničivejší kybernetický útok v histórii s celkovými škodami presahujúcimi 10 miliárd dolárov. Vzhľadom na spoločné znaky novoobjavených vzoriek s Petya aj NotPetya sme tento nový malvér pomenovali HybridPetya.

Telemetria ESETu zatiaľ neukazuje žiadne aktívne použitie malvéru HybridPetya v reálnom svete; preto môže ísť len o dôkaz konceptu vyvinutý bezpečnostným výskumníkom alebo neznámym útočníkom. Navyše tento malvér nevykazuje agresívne sieťové šírenie, aké bolo typické pre pôvodný NotPetya.

Posledný mesiac bol teda v našom labe opäť veľmi zaujímavý a bolo v ňom všetko: prvý ransomvér budúcnosti poháňaný AI, staronové ruské kybernetické útoky, ale aj návrat do minulosti. V prítomnosti tvoríme budúcnosť a z minulosti sa treba vždy poučiť. Preto, ako uvádzam posledných 15 rokov, čo píšem tento stĺpček, dávajte si pozor, najlepšie surfovanie online svetom je bezpečné surfovanie.