Forscher warnen vor KI-Ransomware – das steckt dahinter
Die slowakische IT-Sicherheitsfirma Eset sorgte diese Woche mit der Untersuchung einer offenbar neuartigen Schadsoftware namens «PromptLock» für Schlagzeilen. Demnach haben die Eset-Sicherheitsforscher «die erste bekannte KI-gestützte Ransomware» entdeckt und unter die Lupe genommen. Und kurz darauf informierte die US-amerikanische KI-Entwicklerfirma Anthropic über einen Fall von KI-gestützter Cyberkriminalität.
watson hat sich auf Spurensuche begeben.
Woher stammt die KI-Ransomware PromptLock?
Das ist unklar.
Nachdem diese Woche im Eset-Firmenblog technische Details zu PromptLock veröffentlicht wurden, behauptete ein Unbekannter auf der Social-Media-Plattform X, dass es sich bei der Malware um sein eigenes Projekt handle und es irgendwie geleakt worden sein müsse.
Dies würde zu den bisherigen Erkenntnissen der IT-Sicherheitsforscher passen. Sie sind der Ansicht, dass PromptLock ein sogenannter Proof-of-Concept (PoC) ist, dass also jemand den Beweis erbringen wollte, dass eine solche Schadsoftware tatsächlich funktioniert.
Unter dem Pseudonym «Ivan» erklärt der X-User, er habe schon im April darüber gepostet ...
Wie funktioniert die KI-Ransomware?
Die PromptLock-Malware nutzt ein Sprachmodell von OpenAI, um im laufenden Betrieb bösartige Skripte zu generieren und diese dann auszuführen. So soll die Schadsoftware in die Lage versetzt werden, auf dem Rechner eines Opfers Daten zu «exfiltrieren», also diese heimlich zu kopieren und zu stehlen, zu verschlüsseln und möglicherweise sogar zu zerstören.
Das für die Generierung der Skripte genutzte Sprachmodell (gpt-oss:20b) läuft auf einem Server des Angreifers. Im laufenden Betrieb werden dort über eine Programmierschnittstelle (Ollama-API) bösartige Skripte erzeugt. Diese sind in der plattformunabhängigen Skriptsprache Lua (Portugiesisch für Mond) umgesetzt.
Vom Server des Angreifers werden die Anweisungen über eine verschlüsselte Internetverbindung auf den Rechner des Opfers übertragen (über einen sogenannten Proxy oder einen Tunnel) und dort ausgeführt.
Das Angriffstool selbst, das unbemerkt auf dem Zielcomputer installiert sein muss, um die Skripte nachzuladen, ist in der ebenfalls plattformübergreifenden Programmiersprache Golang geschrieben. Die Eset-Sicherheitsforscher haben gemäss eigenen Angaben sowohl Windows- als auch Linux-Varianten identifiziert.
Der dazugehörige Programmcode war zuvor (von Unbekannten) bei VirusTotal hochgeladen worden, das ist eine bekannte Plattform zum Scannen von Dateien und URLs auf Computerviren und andere Schadsoftware. Dies führte letztlich zur Entdeckung von PromptLock.
Schweizer IT-Sicherheitsexperte ordnet ein
Herr Ruef, wie beurteilen Sie die Malware aufgrund der vorliegenden Informationen?
Marc Ruef: Es war eine logische Konsequenz, dass wir so etwas sehen werden. Wirklich sinnvoll ist es aber auf verschiedenen Ebenen nicht. Zum Beispiel beobachten wir hier quasi «Vibe Coding» eines Malware-Entwicklers. Dies bedeutet, dass sein Code zu grossen Teilen – oder in diesem Fall vollumfänglich – durch ein Large-Language-Model (LLM) geschrieben wird. Dieser Ansatz ist weit davon entfernt, zuverlässig und effizient zu sein. Gerade eine Malware ist darauf angewiesen, in gewissen Teilen sehr optimiert zu funktionieren. Heutige LLMs können das noch nicht erreichen. Vor allem nicht in einem Spezialgebiet wie der Malware-Entwicklung.
Ist die Kombination von Ransomware und generativer KI ein neuer und innovativer Ansatz?
Dass eine solche Malware «in the wild» auftaucht, ist tatsächlich neu. Die Idee dazu ist aber schon viele Jahrzehnte alt. Man hat immer wieder diskutiert und experimentiert, ob und inwiefern sich Malware mit KI generieren lässt. Die Resultate waren aber stets minderer Qualität. Mit dem Fortschreiten und Optimieren von LLMs muss aber damit gerechnet werden, dass sich in den kommenden Jahren auch da enorme Entwicklungen beobachten lassen werden. Von der wahren Brillanz eines hervorragenden Malware-Entwicklers sind wir aber noch viele Jahre entfernt.
Wie gefährlich könnte das in der Praxis werden?
KI ist für Cyberkriminelle ein Hilfsmittel, um ihre Ziele schneller und effizienter erreichen zu können. In erster Linie hilft KI in diesem Bereich aber Einsteigern, um ohne viel Aufwand erste Erfolge verbuchen zu können. Die Einstiegshürde wird so gesenkt und es ist mit einem Mehr an neuen Akteuren zu rechnen, die mitverdienen wollen. Ihre Möglichkeiten und damit ihr Erfolg werden aber naturbedingt limitiert sein.
Genauso wie KI für das Erstellen von Malware genutzt werden kann, lassen sich diese Mechanismen für die Erkennung, Analyse und Abwehr von selbiger einsetzen. Man erwartet einen primär KI-getriebenen Konflikt im Cybersecurity-Bereich. Das Eintreten dessen ist nicht von der Hand zu weisen. Gegenwärtig behält aber in jedem Fall derjenige die Oberhand, der über die Möglichkeiten von KI hinaus denken und handeln kann.
Die Fälle häufen sich
Die Entwicklerfirmen hinter den grossen Sprachmodellen versuchen, ihre Software mit ausgeklügelten Sicherheitsvorkehrungen gegen missbräuchliche Nutzung zu wappnen. Bei sogenannten Prompt-Injection-Angriffen erteilen Cyberkriminelle den KI-Chatbots böswillige Anweisungen, um trotzdem an ihr Ziel zu gelangen.
Die Entdeckung von PromptLock ist ein weiterer Beleg dafür, dass es mit ausreichend krimineller Energie gelingt, die Schutzmassnahmen auszutricksen.
Die Eset-Forscher konstatieren:
Das US-Medium BleepingComputer weist in einem aktuellen Bericht zu PromptLock darauf hin, dass ukrainische IT-Sicherheitsexperten bereits im Juli eine KI-basierte Schadsoftware namens LameHug entdeckt hatten.
Dabei handelte es sich um ein Angriffswerkzeug, das eine Programmierschnittstelle zur bekannten KI-Entwicklungsplattform Hugging Face und ein Sprachmodell des chinesischen Techkonzerns Alibaba (Qwen-2.5-Coder-32B) nutzte, um auf dem Opfer-Rechner Shell-Befehle für das Windows-Betriebssystem zu generieren.
LameHug ist vermutlich von russischen Elitehackern eingesetzt worden. Von der Gruppe APT28 (alias Fancy Bear), die zum Militärgeheimdienst gehören soll.
Die amerikanische KI-Entwicklerfirma Anthropic gab am Mittwoch bekannt, dass sie die Nutzerkonten von zwei verschiedenen Bedrohungsakteuren gesperrt habe. Diese hätten den KI-Chatbot «Claude» des Unternehmens für einen grossangelegten Datendiebstahl und die Erpressung personenbezogener Daten von mindestens 17 verschiedenen Organisationen eingesetzt. Die Angreifer hätten mehrere Varianten von Ransomware entwickelt.
Quellen
- bleepingcomputer.com: Experimental PromptLock ransomware uses AI to encrypt, steal data
- thehackernews.com: Anthropic Disrupts AI-Powered Cyberattacks Automating Theft and Extortion Across Critical Sectors (27. Aug.)
- welivesecurity.com: First known AI-powered ransomware uncovered by ESET Research (26. Aug.)
