PromptLock : L'aube des rançongiciels IA – Analyse approfondie de la découverte ESET

Résumé Exécutif

Le paysage de la cybersécurité a atteint une étape importante avec la découverte par ESET de PromptLock, le premier ransomware connu alimenté par l’IA.

Ce logiciel malveillant révolutionnaire utilise le modèle gpt-oss:20b d’OpenAI via l’API Ollama pour générer dynamiquement des scripts malveillants, représentant une évolution sans précédent dans la sophistication des ransomwares.

Bien qu’il existe actuellement sous forme de preuve de concept, PromptLock signale un changement de paradigme dans la façon dont les cybercriminels peuvent exploiter l’intelligence artificielle à des fins malveillantes.

Vous pouvez consulter mon dernier blog où j’ai écrit sur ce type d’attaques et l’imminence de cette menace. La menace croissante : Le côté obscur de l’IA et des LLMs

L’architecture technique derrière PromptLock

Génération de scripts alimentée par IA

PromptLock représente un départ fondamental par rapport aux architectures traditionnelles de ransomwares. Contrairement aux malwares classiques qui reposent sur un code statique pré-écrit, cette menace innovante utilise des prompts codés en dur pour instruire un modèle d’IA à générer sur demande des scripts Lua malveillants. Le malware établit une connexion au modèle gpt-oss:20b d’OpenAI via l’API Ollama, créant ainsi un système de génération dynamique de code capable d’adapter son comportement en temps réel.

Le ransomware adopte une approche sophistiquée en évitant le téléchargement complet du modèle IA, qui nécessiterait plusieurs gigaoctets de stockage. À la place, les attaquants peuvent établir des connexions proxy ou des tunnels depuis des réseaux compromis vers des serveurs hébergeant l’API Ollama avec le modèle. Cette technique, classée dans le cadre MITRE ATT&CK sous l’identifiant T1090.001 (proxy interne), est fréquemment employée dans les cyberattaques modernes.

Exécution cross-plateforme des scripts Lua

Les scripts Lua générés offrent à PromptLock une compatibilité exceptionnelle multi-plateforme, lui permettant d’opérer sous Windows, Linux et macOS. Ces scripts réalisent plusieurs fonctions malveillantes telles que :

• Énumération du système de fichiers : Cartographie systématique des structures de répertoire

• Inspection des fichiers cibles : Identification des données précieuses pour le chiffrement ou l’exfiltration

• Exfiltration sélective de données : Vol d’informations sensibles avant chiffrement

• Opérations de chiffrement des fichiers : Utilisation de l’algorithme SPECK 128 bits

Implémentation du chiffrement SPECK

PromptLock utilise l’algorithme de chiffrement SPECK 128 bits, un chiffre léger développé par la National Security Agency (NSA). Ce choix d’algorithme est particulièrement stratégique pour les opérations de ransomware en raison de :

• Sa haute performance sur des dispositifs aux ressources limitées

• Ses capacités de chiffrement rapide essentielles pour un brouillage expéditif des fichiers

• Sa compatibilité multi-plateforme soutenant la cible multi-OS du malware

L’algorithme SPECK opère sur des blocs de 128 bits en combinant des opérations simples telles que le XOR bit à bit, les additions modulo, et les décalages bit à bit. Sa nature légère assure un chiffrement efficace même sur des systèmes avec peu de ressources de calcul.

Adaptation dynamique à la menace

L’une des caractéristiques les plus préoccupantes de PromptLock est son comportement non déterministe. Puisque les grands modèles de langage produisent naturellement des sorties variables pour des entrées identiques, le malware peut manifester des comportements différents d’une infection à l’autre. Cette variabilité complique grandement les méthodes traditionnelles de détection basées sur les signatures, car les indicateurs de compromission (IoC) peuvent varier à chaque exécution.

L’approche pilotée par l’IA donne au malware plusieurs capacités avancées :

• Adaptation spécifique à l’environnement : Personnalisation des attaques selon les caractéristiques du système

• Variation des techniques d’évasion : Mise en œuvre de méthodes d’obscurcissement distinctes par déploiement

• Génération dynamique de charges utiles : Création de vecteurs d’attaque uniques pour chaque cible

Statut actuel de l’implémentation

Les chercheurs d’ESET soulignent que PromptLock semble être une preuve de concept ou un projet en cours plutôt qu’un malware pleinement opérationnel déployé dans des attaques actives. Plusieurs indicateurs confirment cette évaluation :

• Fonctionnalités incomplètes : La capacité destructrice de suppression de fichiers n’est pas encore implémentée

• Adresse Bitcoin symbolique : L’adresse de paiement de la rançon appartient à Satoshi Nakamoto, le créateur de Bitcoin, et non à des attaquants réels

• Indices à visée recherche : Plusieurs aspects suggèrent un déploiement expérimental plutôt qu’opérationnel

Conclusion

La découverte de PromptLock marque un tournant historique en cybersécurité, représentant la première intégration réussie de l’intelligence artificielle dans les opérations de ransomware. Bien qu’il existe encore sous forme de preuve de concept, ce développement annonce un futur où les malwares alimentés par l’IA deviendront de plus en plus fréquents et sophistiqués.

La recherche d’ESET démontre à la fois le potentiel innovant des applications malveillantes de l’IA et l’importance cruciale de la recherche proactive en cybersécurité. Les organisations doivent comprendre que l’approche traditionnelle réactive est insuffisante face aux menaces alimentées par l’IA, capables de s’adapter et d’évoluer en temps réel.

La communauté cybersécurité doit s’unir pour développer des capacités défensives avancées à la hauteur de la sophistication de ces menaces émergentes. Cela inclut l’investissement dans des systèmes de détection basés sur l’IA, l’amélioration du partage du renseignement sur les menaces, et le renforcement de la collaboration entre chercheurs et praticiens en sécurité.

Alors que nous pénétrons dans cette nouvelle ère de cybermenaces pilotées par l’IA, la leçon tirée de PromptLock est claire : l’avenir de la cybersécurité dépendra de notre capacité à exploiter l’intelligence artificielle non seulement comme outil de productivité mais comme composante essentielle de notre infrastructure de défense numérique. Le temps de la préparation est maintenant, avant que des preuves de concept comme PromptLock n’évoluent en armes pleinement opérationnelles aux mains des cybercriminels.