Gamme de PC industriel IoT Box powered By Advantech

PromptLock : un ransomware boosté à l’iA qui s’adapte à sa cible

par
PromptLock - un ransomware boosté à l'IA

Le paysage de la cybersécurité est en constante évolution. Avec l’avènement de l’intelligence artificielle (IA), cette transformation s’accélère. Depuis des années, les ransomwares sont une menace dangereuse persistante et évolutive. Cependant, une nouvelle génération de ransomwares émerge, véritable bon en avant malveillant. Ce ransomware est capable d’attaquer efficacement, mais aussi de s’adapter dynamiquement aux environnements des systèmes qu’ils infectent. Cette évolution, alimentée par l’IA, marque un tournant majeur et pose des défis inédits pour les défenseurs du cyberespace. PromptLock est le premier ransomware identifié qui exploite un modèle d’IA local pour générer son propre code malveillant.

PromptLock : une nouvelle espèce prédatrice

La découverte de PromptLock par l’équipe de recherche d’ESET a été un signal d’alarme pour la communauté de la cybersécurité. Ce ransomware se distingue comme la première souche de ransomware connue à tirer parti d’un modèle d’IA local. Contrairement aux ransomwares traditionnels, PromptLock s’appuie sur l’IA pour créer des scripts personnalisés et évasifs.

les outils Ollama, OpenAI et Golang sont les composants ayant servi à créer PromptLock

L’architecture de PromptLock est remarquable. Il est écrit en Golang et adapté aux environnement Windows et Linux. Son fonctionnement repose sur l’utilisation du modèle gpt-oss:20b d’OpenAI localement via l’API Ollama. Plutôt que d’intégrer l’ensemble du modèle LLM, il établit un proxy interne vers un serveur contrôlé par l’attaquant exécutant l’API Ollama et le modèle. Cette méthode de tunneling est couramment utilisée pour contourner les restrictions réseau tout en maintenant l’accès aux ressources externes.

D’apres ESET, PromptLock apparaît comme un IOC (Indicator Of Compromise) et est encore au stade de développement. Cependant, ESET a pris la décision de divulguer publiquement ses découvertes. Même à ce stade de développement précoce, Promptlock représente un bond technique significativement dangereux dans l’évolution des ransomwares.

Comment PromptLock utilise l’IA ?

Le code de promptlock - source : ESET -itnews

La caractéristique la plus révolutionnaire de PromptLock est sa capacité à générer du code à la volée. Au lieu de scripts figés, PromptLock utilise des invites (prompts) codées en dur qu’il alimente à son modèle gpt-oss:20b local. Ces invites demandent au modèle d’agir comme un « générateur de code Lua ». Le choix de Lua est stratégique : sa nature légère et intégrable permet aux scripts générés de fonctionner de manière transparente sur plusieurs systèmes d’exploitation, maximisant ainsi la base de cibles potentielles du malware.

Grâce à ces scripts générés par l’IA, PromptLock peut effectuer une série d’activités malveillantes avec une adaptabilité sans précédent :

  • Énumération du système : il génère du code Lua pour collecter des paramètres système tels que le type de système d’exploitation, le nom d’utilisateur, le nom d’hôte et le répertoire de travail actuel. Les invites exigent spécifiquement une compatibilité multiplateforme pour Windows, Linux et macOS, démontrant une conscience environnementale.
  • Inspection du système de fichiers : il crée des scripts pour scanner le système de fichiers local, identifier les fichiers cibles et analyser leur contenu, avec des instructions pour rechercher des informations personnelles identifiables (PII) ou des informations sensibles. Cela représente un ciblage adaptatif des données de valeur.
  • Exfiltration et chiffrement des données : une fois les fichiers cibles identifiés, les scripts générés par l’IA sont exécutés pour gérer l’exfiltration des données et le chiffrement ultérieur.

En comparaison, PromptLock partage des similitudes stratégiques avec LAMEHUG. Ce malware, alimenté par l’IA, a précédemment été déployé par des groupes APT russes présumés en Ukraine. Cependant, PromptLock est plus puissant, et intègre le modèle localement, permettant une génération de code malveillant hors ligne, ce qui accroît sa furtivité et sa résilience.

Danger, implications et défis pour la Cybersécurité

L’émergence de PromptLock et d’autres malwares alimentés par l’IA pose des défis considérables pour la cybersécurité. L’intégration de LLM locaux crée des menaces plus dynamiques et évasives. Contrairement aux malwares traditionnels, les malwares intégrant l’IA peuvent modifier leur comportement en temps réel selon leur objectif. Cette capacité à s’adapter rend la détection et la réponse aux menaces beaucoup plus difficiles.

Réponse stratégique et protection

Face à cette évolution des menaces, les équipes de sécurité doivent adapter leurs stratégies de défense. Voici quelques approches cruciales :

  • Surveillance des scripts Lua anormaux : les défenseurs doivent surveiller l’exécution de scripts Lua anormaux
  • Inspection des connexions sortantes : il est impératif d’inspecter les connexions sortantes pour détecter les signes de tunneling proxy vers l’infrastructure de service LLM
  • Anticipation : les équipes de sécurité doivent se préparer à un avenir où les malwares sont générés dynamiquement sur les machines des victimes, en mettant en œuvre des défenses proactives
  • Architecture de prompt simplifiée : s’inspirant des bonnes pratiques de développement GenAI, il est conseillé de simplifier l’architecture des prompts pour les systèmes légitimes afin de réduire la dépendance à des LLM spécifiques
  • Formation : les ingénieurs en IA devront explorer les techniques émergentes de la communauté open-source qui s’attaquent au problème du verrouillage des prompts (prompt lock-in) Ces mêmes concepts pourraient être étudiés pour renforcer les défenses contre les attaques utilisant des prompts.

Conclusion

PromptLock représente un jalon crucial dans l’évolution des ransomwares, marquant le passage des menaces statiques aux menaces dynamiques et adaptatives.

En exploitant l’intelligence artificielle pour générer du code malveillant à la volée, il pose de nouveaux défis en matière de détection et d’atténuation. La capacité des malwares à comprendre et à s’adapter à leur environnement rend les défenses traditionnelles de plus en plus obsolètes.

Alors que les LLM locaux deviennent plus puissants et accessibles, la communauté de la cybersécurité doit anticiper un avenir où les acteurs malveillants exploiteront de plus en plus l’IA pour créer des menaces sophistiquées.

L’armements cybernétique boosté à l’IA est engagé. Comprendre les mécanismes de ces nouvelles menaces, comme PromptLock, est la première étape pour développer des stratégies de défense plus robustes et résilientes, capables de protéger nos systèmes dans cette nouvelle ère numérique. L’avenir de la cybersécurité dépendra de notre capacité à innover aussi rapidement que nos adversaires.

Pour aller plus loin : lisez l’article de notre expert en Cybersécurité. Egalement, ne manquez pas celui explorant le côté obscur de l’IA et des LLMs

Integral System

Integral System est expert en matériel informatique industrielle depuis 2003. Société Lyonnaise, installé à Villeurbanne, Integral est distributeur d'équipements informatiques à destination de l'industrie. Résolument tourné vers l'innovation, c'est depuis de nombreuses années qu'Integral System s'investie dans l'IoT et l'industrie 4.0

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.