A evolução das ameaças cibernéticas deu um salto preocupante com a descoberta do PromptLock, identificado pela ESET como o primeiro ransomware conhecido que utiliza inteligência artificial como seu núcleo operacional. Nesse artigo do blog Dolutech, exploraremos como essa nova categoria de malware representa uma mudança fundamental no panorama de segurança cibernética.
O que é o PromptLock e Como Funciona
O PromptLock é um ransomware escrito em Golang que utiliza o modelo gpt-oss:20b da OpenAI localmente através da API Ollama para gerar scripts Lua maliciosos em tempo real. Diferentemente dos ransomwares tradicionais que dependem de código pré-compilado, esta ameaça inovadora cria seus próprios scripts de ataque dinamicamente.
A malware contém prompts incorporados que envia para o modelo gpt-oss:20b para gerar scripts Lua, e embora os prompts sejam estáticos, os scripts gerados podem variar a cada execução. Essa característica não-determinística torna o PromptLock particularmente desafiador para sistemas de detecção tradicionais.
Capacidades Técnicas do PromptLock
A Dolutech identificou que o PromptLock possui várias funcionalidades sofisticadas:
Enumeração de Sistema: O malware gera scripts para enumerar o sistema de arquivos local, inspecionar arquivos-alvo, exfiltrar dados selecionados e realizar criptografia. Os scripts são compatíveis com múltiplas plataformas, funcionando em Windows, Linux e macOS.
Algoritmo de Criptografia: Para criptografia de arquivos, o PromptLock utiliza o algoritmo SPECK 128-bit, uma escolha incomum para ransomware, considerado adequado principalmente para aplicações RFID.
Adaptabilidade Cross-Platform: Os scripts Lua gerados são compatíveis entre plataformas, funcionando em Windows, Linux e macOS, oferecendo uma flexibilidade operacional sem precedentes.
O Modelo gpt-oss:20b e os Riscos dos Modelos Open-Weight
Características do Modelo Utilizado
O gpt-oss-20b é um modelo de linguagem de peso aberto lançado pela OpenAI com 21 bilhões de parâmetros e apenas 3,6 bilhões de parâmetros ativos, capaz de rodar em dispositivos com apenas 16GB de memória. Essa acessibilidade é precisamente o que torna possível sua exploração maliciosa.
Ambos os modelos foram treinados usando o formato de resposta harmony da OpenAI e devem ser usados apenas com este formato, sendo disponibilizados sob a licença Apache 2.0 permissiva.
Vulnerabilidades dos Modelos Open-Weight
Os modelos de peso aberto apresentam riscos únicos de segurança que nós, como especialistas em cibersegurança, devemos compreender:
Fine-tuning Malicioso: Atores adversariais podem remover salvaguardas de modelos abertos via fine-tuning, então distribuir livremente o modelo, limitando o valor das técnicas de mitigação. Essa capacidade permite que cibercriminosos “desbloqueiem” modelos para propósitos maliciosos.
Barreira de Entrada Reduzida: A acessibilidade oferecida pelos pesos abertos reduz significativamente a barreira de entrada para fazer fine-tuning de modelos tanto para propósitos benéficos quanto prejudiciais.
Perda de Controle: Desenvolvedores que liberam publicamente pesos de modelos desistem do controle e visibilidade sobre as ações dos usuários finais. Eles não podem revogar acesso aos pesos ou realizar moderação no uso do modelo.
Análise Técnica: Como o PromptLock Opera
Arquitetura de Funcionamento
O PromptLock usa a API Ollama para acessar o modelo de linguagem gpt-oss:20b. O LLM é hospedado em um servidor remoto, ao qual o ator de ameaça se conecta através de um túnel proxy.
A análise técnica realizada pela ESET revelou que:
- A análise do tráfego de rede do malware revela requisições POST para um endpoint local da API Ollama (172.42.0[.]253:8443)
- Os prompts instruem o modelo AI a agir como um “gerador de código Lua”
- Os prompts designam o modelo com a criação de scripts para atividades maliciosas específicas, incluindo enumeração do sistema e inspeção do sistema de arquivos
Indicadores de Comprometimento Variáveis
Um aspecto particularmente preocupante é que o PromptLock usa scripts Lua gerados por IA, o que significa que indicadores de comprometimento (IoCs) podem variar entre execuções. Esta variabilidade introduz desafios significativos para detecção e pode complicar substancialmente a identificação de ameaças.
Implicações para a Segurança Corporativa
Riscos Emergentes
A descoberta do PromptLock marca o início de uma nova era em cibersegurança. Com a ajuda da IA, lançar ataques sofisticados tornou-se dramaticamente mais fácil — eliminando a necessidade de equipes de desenvolvedores habilidosos.
Democratização do Cibercrime: A emergência do PromptLock é outro sinal de que a IA tornou mais fácil para cibercriminosos, mesmo aqueles que carecem de expertise técnica, rapidamente configurar novas campanhas, desenvolver malware e criar conteúdo de phishing convincente.
Escalabilidade de Ataques: O risco marginal de cibersegurança representado pela distribuição ampla de modelos fundamentais de uso duplo pode aumentar a escala de ação maliciosa, sobrecarregando a capacidade da aplicação da lei de responder efetivamente.
Limitações Atuais
Apesar das preocupações, é importante notar que ataques PromptLock exigiriam várias pré-condições que são improváveis de serem atendidas em redes típicas:
- O PromptLock usa o modelo GPT-OSS:20b localmente via API Ollama, o que significa que o Ollama precisa estar rodando no sistema da vítima. Isso exigiria recursos que sistemas de computador típicos não possuem
- O sucesso de um ataque PromptLock também depende da vítima ter segmentação de rede deficiente e falhar em implementar guardrails de prompt, ou permitir tráfego de saída direcionado a portas e protocolos LLM
Estratégias de Mitigação e Defesa
Medidas Preventivas Essenciais
Com base na análise técnica, nós recomendamos as seguintes estratégias de proteção:
Monitoramento de Execução de Scripts: A ESET aconselha defensores a monitorar execução anômala de scripts Lua, particularmente aqueles envolvendo enumeração de sistema ou rotinas de criptografia.
Controle de Tráfego de Rede: Administradores de rede devem inspecionar conexões de saída em busca de sinais de tunelamento proxy para infraestrutura que serve LLM, especialmente via API Ollama.
Segmentação de Rede Robusta: Implementar segmentação rigorosa para limitar o movimento lateral em caso de comprometimento.
Controles de Aplicação Avançados
Limitar ou auditar execução de modelos locais (por exemplo, via Ollama). Usar listas de permissão de aplicações e políticas de execução de script rigorosas.
Políticas de Autorização: Segmentar ativos críticos para reduzir impacto de malware. Exigir autorização rigorosa para modificar sistemas sensíveis.
Exercícios de Simulação: Simular ameaças orientadas por IA em exercícios de mesa e testes de penetração. Testar prontidão de detecção contra scripts gerados dinamicamente.
O Futuro dos Ataques Baseados em IA
Tendências Emergentes
A A Dolutech observa que esta descoberta representa apenas o início de uma transformação mais ampla no cenário de ameaças. É quase certo que cibercriminosos aproveitarão a IA para criar novas famílias de ransomware.
Sofisticação Crescente: Para o público, isso significa que o ransomware provavelmente se tornará mais sofisticado, se espalhará mais rapidamente e será mais difícil de detectar.
Democratização de Capacidades: Esta desenvolvimento sublinha o imperativo para organizações moverem-se além de defesas reativas baseadas em assinatura para estratégias de segurança proativas, comportamentais e orientadas por IA.
Precedentes Preocupantes
O PromptLock não é um caso isolado. Este ano, o Ucrânia CERT relatou a descoberta do malware LameHug, uma ferramenta alimentada por LLM que usa a API Hugging Face e o Qwen-2.5-Coder-32B da Alibaba para gerar comandos de shell Windows dinamicamente.
Exemplo Prático: Configuração de Defesa Contra PromptLock
Para organizações que buscam se proteger contra essa nova categoria de ameaça, considerem implementar as seguintes medidas técnicas:
Monitoramento de API Local
# Exemplo de regra de firewall para bloquear tráfego Ollama não autorizado
iptables -A OUTPUT -p tcp --dport 8443 -j LOG --log-prefix "OLLAMA_BLOCK: "
iptables -A OUTPUT -p tcp --dport 8443 -j DROPDetecção Comportamental
Configure alertas para:
- Execução anômala de scripts Lua
- Conexões para endpoints de API de modelos de linguagem
- Padrões de enumeração de sistema seguidos por atividade de criptografia
Políticas de Segmentação
Implemente micro-segmentação para isolar sistemas críticos e limitar o alcance de ataques dinâmicos.
Considerações Sobre Modelos Open-Weight e Fine-Tuning
Riscos do Fine-Tuning Malicioso
A OpenAI introduziu fine-tuning malicioso (MFT), onde tentaram extrair capacidades máximas fazendo fine-tuning do gpt-oss para ser o mais capaz possível em dois domínios: biologia e cibersegurança. Embora os resultados tenham mostrado limitações, o potencial para modificação maliciosa permanece.
Remoção de Salvaguardas: Atores maliciosos podem sistematicamente remover as proteções de segurança incorporadas nos modelos através de fine-tuning dirigido, criando versões “desbloqueadas” para atividades criminosas.
Distribuição Descentralizada: Uma vez que os usuários baixaram os pesos, eles podem compartilhá-los através de outros meios, incluindo redes peer-to-peer como BitTorrent, tornando praticamente impossível controlar sua disseminação.
Medidas de Proteção Corporativa
Estratégias de Defesa em Profundidade
Controle de Acesso Rigoroso: Combinar três tipos simples de acesso pode acomodar tipos variados de acesso de funcionários enquanto reduz significativamente o risco de exfiltração: uso de código pré-definido revisado e verificado pela equipe de segurança.
Monitoramento de Ativos de IA: É importante estar ciente dos ativos relacionados à IA da sua organização, como modelos, dados, prompts, bibliotecas relacionadas, documentação, logs e avaliações.
Implementação de Guardrails: Estabelecer controles rigorosos sobre onde e como modelos de IA podem ser executados dentro da infraestrutura organizacional.
Resposta a Incidentes Adaptativos
A integração de modelos de IA locais em ransomware significa uma nova fronteira em ciberataques, capaz de gerar ameaças dinâmicas, evasivas e altamente customizadas. As equipes de resposta a incidentes devem adaptar seus playbooks para lidar com:
- Indicadores de comprometimento que mudam entre execuções
- Scripts gerados dinamicamente que podem não corresponder a assinaturas conhecidas
- Comportamento adaptativo baseado no ambiente da vítima
Contexto Global e Implicações Futuras
O Panorama Atual das Ameaças IA
Anteriormente hoje, a Anthropic revelou que baniu contas criadas por dois diferentes atores de ameaça que usaram seu chatbot Claude AI para cometer roubo em larga escala e extorsão de dados pessoais direcionados a pelo menos 17 organizações distintas. Isso demonstra que o problema vai além do PromptLock.
Evolução Acelerada: A ascensão de malware alimentado por IA representa uma nova fronteira em cibersegurança. Nós podemos esperar que atacantes continuem explorando as capacidades de modelos de IA para criar ameaças mais sofisticadas.
Preparação para o Futuro
Necessidade de Detecção Comportamental: Detecção baseada em assinatura é cada vez mais insuficiente: comportamentos não-determinísticos demandam defesas avançadas.
Treinamento e Conscientização: As equipes de segurança devem se preparar para um futuro onde o malware não é mais estático, mas gerado dinamicamente em máquinas de vítimas.
Status Atual e Limitações
Prova de Conceito vs. Ameaça Ativa
É crucial entender que a ESET considera o PromptLock uma prova de conceito ou trabalho em progresso, e não um ransomware ativo na natureza. Vários sinais indicam que esta é uma ferramenta conceitual:
- Uso de uma cifra de criptografia fraca (SPECK 128-bit), um endereço Bitcoin hardcoded ligado a Satoshi Nakamoto, e o fato de que a capacidade de destruição de dados não foi implementada
- Após a ESET publicar detalhes sobre o PromptLock, um pesquisador de segurança alegou que o malware era seu projeto e de alguma forma vazou
Requisitos Técnicos Significativos
Para que o PromptLock funcione efetivamente, várias condições devem ser atendidas:
- Presença do Ollama rodando no sistema da vítima
- Recursos computacionais suficientes para executar o modelo gpt-oss:20b
- Conectividade de rede para acessar o modelo (local ou via proxy)
- Ausência de segmentação de rede adequada
Recomendações Estratégicas da Dolutech
Para CISOs e Equipes de Segurança
Avaliação de Risco Imediata: Conduza uma auditoria de onde modelos de IA estão sendo utilizados em sua organização e implemente controles apropriados.
Atualização de Políticas: Registre onde LLMs são implantados. Atualize políticas para restringir uso não autorizado de modelos locais.
Investimento em Detecção Avançada: Mova-se além de detecção baseada em assinatura para soluções que podem identificar comportamentos maliciosos dinâmicos.
Para Desenvolvedores e Organizações
Implementação de Salvaguardas: Ao utilizar modelos open-weight, implemente múltiplas camadas de proteção, incluindo controles de acesso, monitoramento de uso e validação de saída.
Segurança por Design: Em linha com a orientação Secure by Design da Agência de Segurança Cibernética e Infraestrutura, desenvolvedores de modelos de IA podem tomar medidas para construir segurança desde o início.
Conclusão: Uma Nova Era de Cibersegurança
A descoberta do PromptLock pela ESET marca oficialmente o início da era do malware alimentado por inteligência artificial. Embora esta implementação específica seja uma prova de conceito, ela valida as preocupações de longa data sobre o potencial malicioso da IA generativa.
Nós, como comunidade de cibersegurança, devemos reconhecer que a corrida armamentista entre IA ofensiva e defensiva verdadeiramente começou, e ficar à frente exigirá vigilância constante, adaptação e investimento em tecnologias de segurança de ponta.
A A Dolutech continuará monitorando desenvolvimentos nesta área crítica, fornecendo análises técnicas e estratégias de defesa para ajudar organizações a se protegerem contra essas ameaças emergentes. O futuro da cibersegurança não será apenas sobre defender contra código malicioso, mas sobre proteger-se contra inteligência artificial maliciosa – uma realidade que chegou mais cedo do que muitos esperavam.
O PromptLock pode ser apenas o começo, mas serve como um alerta crucial: precisamos evoluir nossas defesas tão rapidamente quanto as ameaças evoluem, ou arriscamos ficar para trás nesta nova fronteira digital.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
