O PromptLock, ransomware descoberto pela ESET, utiliza IA para criar scripts maliciosos em tempo real e adaptar-se a diferentes sistemas.
Investigadores da ESET anunciaram a deteção daquele que consideram ser o primeiro ransomware conhecido a recorrer a inteligência artificial. A ameaça, designada PromptLock, utiliza IA generativa para manipular dados, podendo optar entre extrair, encriptar ou até eliminar informação, de forma autónoma.
De acordo com os especialistas, o PromptLock recorre ao modelo gpt-oss-20b da OpenAI, executado localmente através da API Ollama, para produzir scripts Lua maliciosos em tempo real. Esses scripts permitem enumerar o sistema de ficheiros, analisar documentos selecionados, extrair dados e proceder à encriptação. O ransomware foi desenvolvido em Golang, linguagem de programação de carácter multiplataforma que tem vindo a ganhar popularidade no desenvolvimento de malware. A equipa da ESET identificou amostras do PromptLock para Windows e Linux, já registadas no VirusTotal.
Uma das particularidades desta ameaça é a sua variabilidade. Como os scripts são gerados por IA a partir de prompts pré-configurados, os indicadores de comprometimento podem mudar a cada execução. Esta dinâmica torna a deteção mais complexa e dificulta a resposta defensiva.
O uso de modelos de IA no cibercrime não é novo. A tecnologia tem facilitado a criação de campanhas de phishing altamente realistas, assim como a produção de imagens, áudios e vídeos falsificados (deepfakes). A acessibilidade destas ferramentas reduziu a barreira de entrada para atacantes menos experientes, permitindo que operem de forma mais sofisticada do que anteriormente seria possível.
O ransomware tem sido, ao longo da última década, uma das maiores ameaças à cibersegurança global, sendo frequentemente associado a grupos de ciberespionagem avançada (APT). A introdução da IA neste tipo de ataques poderá ampliar significativamente o seu alcance e impacto.
Segundo a análise da ESET, o PromptLock exemplifica como ferramentas de inteligência artificial podem automatizar diferentes etapas de um ataque, desde a fase de reconhecimento até à exfiltração e encriptação de dados, a uma velocidade e escala inéditas. A capacidade de adaptação em tempo real, ajustando táticas consoante o ambiente, abre caminho a um novo nível de sofisticação nos ataques de ransomware.
