Minh Nguyệt
Intern Writer
Các nhà nghiên cứu bảo mật từ ESET vừa phát hiện ra loại ransomware đầu tiên được hỗ trợ bởi trí tuệ nhân tạo, điều này thực sự là một lời cảnh báo cho các đội ngũ bảo mật khi mà AI sinh sinh đã, và sẽ tiếp tục, khiến cho các cuộc tấn công mạng trở nên dễ dàng hơn cho tội phạm. Hai nhà nghiên cứu, Peter Strycek và Anton Cherepanov, đã tìm ra một bằng chứng khái niệm mà họ gọi là 'PromptLock'. Loại ransomware này 'sử dụng các script Lua được tạo ra từ các prompt được mã hóa sẵn để xác định hệ thống tập tin cục bộ, kiểm tra các tệp mục tiêu, trích xuất dữ liệu đã chọn, và thực hiện mã hóa'.
Họ cho biết: "Mặc dù nhiều chỉ báo cho thấy mẫu này chỉ là một bằng chứng khái niệm (PoC) hoặc đang trong quá trình phát triển chứ không phải là phần mềm độc hại hoạt động hoàn chỉnh được triển khai ngoài thực tế, chúng tôi vẫn cảm thấy có trách nhiệm thông báo cho cộng đồng an ninh mạng về những diễn biến này."
Ransomware PromptLock sử dụng mô hình gpt-oss:20b của OpenAI – một mô hình có trọng số mở được phát hành vào tháng 8 năm 2025, và mô hình này được chạy cục bộ thông qua API Ollama để tạo ra các script Lua độc hại 'ngay lập tức'. Các script Lua này tương thích trên nhiều nền tảng, các nhà nghiên cứu đã chỉ ra, có nghĩa là chúng có thể hoạt động trên macOS, Linux và Windows. Sau khi quét các tệp của người dùng để xác định tệp nào có giá trị nhất, phần mềm độc hại này có thể trích xuất, mã hóa và thậm chí là tiêu hủy bất kỳ dữ liệu nào mà nó chọn.
Các đội bảo mật đã cảnh báo trong nhiều tháng rằng tương lai của ransomware được hỗ trợ bởi AI sẽ sớm đến, và mặc dù PromptLock chưa được quan sát nhắm vào bất kỳ nạn nhân nào trong thực tế, rõ ràng chỉ còn là vấn đề thời gian trước khi điều này xảy ra. Không chỉ làm cho cuộc sống của những kẻ tấn công tiềm năng trở nên dễ dàng hơn bằng cách giảm rào cản gia nhập, mà các mô hình ngôn ngữ lớn (LLM) cũng tạo ra những kết quả khác nhau ngay cả khi được đưa cùng một prompt. Điều này khiến chúng trở nên khó đoán và đặc biệt khó phát hiện đối với những người bảo vệ, vì mẫu hành vi trở nên bất ổn và khó khăn để nhận diện.
Nguồn tham khảo: Tech Radar
Họ cho biết: "Mặc dù nhiều chỉ báo cho thấy mẫu này chỉ là một bằng chứng khái niệm (PoC) hoặc đang trong quá trình phát triển chứ không phải là phần mềm độc hại hoạt động hoàn chỉnh được triển khai ngoài thực tế, chúng tôi vẫn cảm thấy có trách nhiệm thông báo cho cộng đồng an ninh mạng về những diễn biến này."
Ransomware PromptLock sử dụng mô hình gpt-oss:20b của OpenAI – một mô hình có trọng số mở được phát hành vào tháng 8 năm 2025, và mô hình này được chạy cục bộ thông qua API Ollama để tạo ra các script Lua độc hại 'ngay lập tức'. Các script Lua này tương thích trên nhiều nền tảng, các nhà nghiên cứu đã chỉ ra, có nghĩa là chúng có thể hoạt động trên macOS, Linux và Windows. Sau khi quét các tệp của người dùng để xác định tệp nào có giá trị nhất, phần mềm độc hại này có thể trích xuất, mã hóa và thậm chí là tiêu hủy bất kỳ dữ liệu nào mà nó chọn.
Các đội bảo mật đã cảnh báo trong nhiều tháng rằng tương lai của ransomware được hỗ trợ bởi AI sẽ sớm đến, và mặc dù PromptLock chưa được quan sát nhắm vào bất kỳ nạn nhân nào trong thực tế, rõ ràng chỉ còn là vấn đề thời gian trước khi điều này xảy ra. Không chỉ làm cho cuộc sống của những kẻ tấn công tiềm năng trở nên dễ dàng hơn bằng cách giảm rào cản gia nhập, mà các mô hình ngôn ngữ lớn (LLM) cũng tạo ra những kết quả khác nhau ngay cả khi được đưa cùng một prompt. Điều này khiến chúng trở nên khó đoán và đặc biệt khó phát hiện đối với những người bảo vệ, vì mẫu hành vi trở nên bất ổn và khó khăn để nhận diện.
Nguồn tham khảo: Tech Radar
Sửa lần cuối bởi điều hành viên: