De wereld van cybercriminaliteit verandert snel. Traditionele ransomware aanvallen, waarbij bestanden worden versleuteld om losgeld af te dwingen, worden steeds geavanceerder. Een van de nieuwste trends is het gebruik van kunstmatige intelligentie (AI) om ransomware aanvallen krachtiger en moeilijker te detecteren te maken. Dit heeft de manier waarop cybercriminelen te werk gaan veranderd en heeft ernstige implicaties voor bedrijven en individuen wereldwijd. In dit artikel onderzoeken we de eerste bekende AI gedreven ransomware, PromptLock, zoals beschreven door onderzoekers van ESET, en wat deze ontwikkeling betekent voor de toekomst van cyberbeveiliging.
Wat is AI gedreven ransomware
Ransomware is een type malware dat bestanden op een computer versleutelt en vraagt om een betaling (losgeld) in ruil voor de ontsleuteling van die bestanden. Tot voor kort was ransomware relatief eenvoudig in zijn werking. Het werd vaak via phishing e-mails verspreid, waarbij kwaadaardige bijlagen of links werden gebruikt om slachtoffers te infecteren. Zodra een systeem was geïnfecteerd, begon de ransomware bestanden te versleutelen en eiste een betaling om de versleuteling ongedaan te maken.
Met de opkomst van kunstmatige intelligentie krijgen we nu te maken met een nieuwe generatie ransomware die moeilijker te bestrijden is. AI gedreven ransomware, zoals PromptLock, maakt gebruik van een groot taalmodel om dynamisch kwaadaardige scripts te genereren en zichzelf aan te passen aan de omgeving van het slachtoffer. Dit maakt het veel moeilijker voor traditionele beveiligingsmaatregelen om de dreiging te detecteren en te blokkeren.
PromptLock is de eerste bekende ransomware die deze aanpak gebruikt. Het maakt via de Ollama API verbinding met een lokaal draaiend AI model, gpt-oss:20b, om op maat gemaakte Lua scripts te genereren. Deze scripts voeren vervolgens verschillende taken uit, zoals het inventariseren van bestanden, het exfiltreren van gegevens of het versleutelen van doelwitten. Dit dynamische karakter maakt de aanval flexibeler en moeilijker voorspelbaar.
Hoe werkt PromptLock
PromptLock is geschreven in de programmeertaal Go (Golang), bekend om zijn efficiëntie en compatibiliteit met meerdere platformen. Het is gevonden in zowel Windows als Linux varianten. De malware roept interne functies aan om taken te verdelen en AI te gebruiken voor het genereren van Lua scripts die de aanval ondersteunen.
Overzicht van de kernfuncties in de PromptLock code, waaronder het oproepen van een taalmodel en het uitvoeren van Lua scripts.
Een opvallend element in de code is de instructie om SPECK 128 bit encryptie in ECB modus te implementeren. Dit lichtgewicht blokcijfer werd ontwikkeld door de NSA en staat bekend om zijn efficiëntie, vooral in beperkte omgevingen. In PromptLock duidt het op de bedoeling om bestanden te versleutelen, al benadrukken onderzoekers dat dit in de huidige vorm vooral in de code instructies is teruggevonden.
Instructie uit de ransomware die de SPECK 128 bit versleuteling in Lua aanstuurt om bestanden onbruikbaar te maken.
Een ander kenmerk is de integratie met een AI model. De ransomware verstuurt prompts naar gpt-oss:20b via Ollama, waarin het model bijvoorbeeld wordt gevraagd om Lua code te genereren die systeeminformatie verzamelt of bestanden verwerkt. Dit betekent dat de ransomware niet statisch hoeft te vertrouwen op vooraf geschreven logica, maar tijdens de aanval nieuwe scripts kan laten maken die passen bij het slachtoffer.
PromptLock stuurt opdrachten naar een lokaal AI model (gpt-oss:20b) via de Ollama API om automatisch Lua code te genereren.
Wat maakt AI gedreven ransomware gevaarlijk
Het gebruik van AI in ransomware aanvallen biedt verschillende voordelen voor aanvallers. In plaats van vooraf vastgelegde patronen kan de malware dynamisch scripts genereren die passen bij de omgeving van het slachtoffer. Dit betekent dat detectie door klassieke beveiligingssystemen bemoeilijkt wordt, omdat die meestal werken op basis van bekende gedragsprofielen of handtekeningen.
Een voorbeeld is het genereren van code die systeemparameters verzamelt, zoals gebruikersnaam, besturingssysteem, werkdirectory en tijdelijke bestanden. Hiermee krijgt de aanvaller in real time informatie over de omgeving en kan de aanval daarop worden afgestemd.
De ransomware geeft het AI model instructies om systeeminformatie uit te lezen en de resultaten in een vast format terug te geven.
Daarnaast kan PromptLock AI inzetten om exfiltratiecode te genereren waarmee bestanden worden geopend, geanalyseerd en teruggestuurd. De prompts laten zien dat de malware zelfs in staat is tekstbestanden, PDF’s of afbeeldingen automatisch te verwerken. Dit verlaagt de drempel voor aanvallers aanzienlijk, ook minder technisch onderlegde criminelen kunnen op deze manier krachtige aanvallen uitvoeren.
De gevolgen voor cyberbeveiliging
De opkomst van AI gedreven ransomware heeft ernstige gevolgen voor de manier waarop organisaties zich moeten beschermen. Klassieke beveiligingsoplossingen die gebaseerd zijn op signature detectie of vaste regels, zijn onvoldoende om deze flexibele aanvallen te stoppen. Er is een groeiende noodzaak om AI ook in te zetten aan de verdedigende kant, bijvoorbeeld voor gedragsanalyse, anomaliedetectie en het herkennen van dynamische aanvalspatronen.
Daarnaast blijft het menselijk element belangrijk. Veel ransomware aanvallen beginnen nog steeds via phishingmails of andere vormen van social engineering. Training, strikte toegangsrechten en regelmatige software updates zijn essentieel om de kans op succesvolle infecties te verkleinen. Ook het hebben van goede back ups en incidentresponsplannen blijft noodzakelijk om schade te beperken als een aanval toch succesvol is.
De toekomst van AI in cybercriminaliteit
De ontdekking van PromptLock laat zien dat AI niet alleen wordt gebruikt om scripts te genereren, maar ook om overtuigende losgeldbrieven en dreigementen te schrijven. Door AI te instrueren als een “cybersecurity expert”, kan de ransomware zelf ransom notes genereren die aansluiten bij de aard van de buitgemaakte gegevens.
PromptLock gebruikt AI niet alleen voor codegeneratie, maar ook voor het opstellen van overtuigende losgeldbrieven en dreigementen.
Dit onderstreept dat AI in de toekomst waarschijnlijk vaker door aanvallers zal worden ingezet. Niet alleen om aanvallen technischer te maken, maar ook om de communicatie richting slachtoffers geloofwaardiger te laten lijken. Het is daarom cruciaal dat organisaties, overheden en securityprofessionals snel anticiperen en investeren in technologieën die deze nieuwe generatie bedreigingen kunnen herkennen en afweren.
Bron: Eset
Wat is?
- AI gedreven ransomware
Een nieuwe generatie ransomware die kunstmatige intelligentie gebruikt om dynamisch code te genereren, zich aan te passen aan het slachtoffer en moeilijker te detecteren is. - PromptLock
De naam van de eerste bekende ransomwarevariant die AI inzet. Deze werd door ESET ontdekt en maakt gebruik van een lokaal AI model om scripts te genereren. - Golang (Go)
Een programmeertaal die vaak gebruikt wordt voor efficiënte, snelle en platformonafhankelijke software. PromptLock is in deze taal geschreven. - Lua scripts
Kleine programma’s geschreven in de lichte en flexibele programmeertaal Lua. PromptLock gebruikt AI om deze automatisch te laten genereren voor verschillende taken. - gpt-oss:20b
Een groot taalmodel dat door cybercriminelen lokaal kan worden gebruikt. PromptLock stuurt instructies naar dit model om automatisch kwaadaardige Lua code te maken. - Ollama API
Een software interface waarmee een programma, zoals PromptLock, opdrachten kan sturen naar een AI model dat lokaal draait. - SPECK 128 bit blokcijfer
Een lichtgewicht versleutelingsalgoritme dat door de NSA is ontwikkeld. In PromptLock wordt dit genoemd als middel om bestanden te versleutelen. - ECB modus (Electronic Codebook)
Een eenvoudige manier om versleuteling toe te passen, waarbij elk blok gegevens afzonderlijk wordt versleuteld. Dit is minder veilig dan complexere methoden, maar wel sneller en eenvoudiger te implementeren. - Exfiltratie
Het heimelijk weghalen of kopiëren van bestanden van een systeem naar de computer van een aanvaller. - Ransom note (losgeldbrief)
Het bericht dat cybercriminelen naar slachtoffers sturen om losgeld te eisen. In PromptLock kan zo’n brief zelfs automatisch door AI worden opgesteld.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Meer artikelen van Cybercrimeinfo
Verdachte gezocht na bankhelpdeskfraude in Hoofddorp
Een 74-jarige vrouw uit Hoofddorp is op 22 april 2026 slachtoffer geworden van bankhelpdeskfraude, waarbij criminelen 8000 euro van haar rekening pinden. De politie heeft duidelijke camerabeelden van een verdachte en vraagt om hulp bij zijn identificatie.
Fortinet treft 270 Belgische bedrijven, Joomla-lek 10.0
Het cybernieuws van dinsdag 23 en woensdag 24 juni 2026 stond in het teken van één groot dossier en een breed patroon. Het datalek bij Fortinet blijkt minstens 270 Belgische organisaties en honderden Nederlandse systemen te raken, terwijl de onderliggende oogstcampagne FortiBleed meer dan 110 miljoen inloggegevens verzamelde. Daarnaast wordt een kritiek lek in de Joomla Content Editor met de hoogste score van 10.0 actief misbruikt, en doken vier nieuwe darkweb-claims op tegen Belgische en Nederlandse bedrijven. Onder de oppervlakte loopt een rode draad: aanvallers oogsten en verhandelen toegang, en de software-toeleveringsketen en de tooling rond kunstmatige intelligentie worden een steeds groter doelwit.
Belgische Staatsveiligheid gehackt, SRA op leaksite
In deze aflevering van het Cyber Journaal kijken we naar het nieuws van zaterdag 20 tot en met maandag 22 juni. De Belgische inlichtingendienst bleek via een lek bij een toeleverancier te zijn getroffen, de Nederlandse accountantskoepel SRA verscheen op de leaksite van LockBit 5, en Fortinet gaf nu ook zelf een dringende waarschuwing uit over de FortiBleed campagne. Daarnaast legde ESET de werkwijze van de ransomwaregroep Gentlemen bloot, doken nieuwe kwetsbaarheden op die directe actie vragen, en speelden oplichters in op de zomervakantie, de belastingaangifte en de Wereldbeker. We lopen het thema voor thema langs.
Financiën gehackt via zeroday, politie rolt SocGholish op
In deze aflevering van het Cyber Journaal kijken we naar het nieuws van donderdag 18 en vrijdag 19 juni. Het Ministerie van Financiën maakte bekend dat het in maart via een onbekend lek werd gehackt, de Nederlandse politie haalde samen met internationale partners het beruchte SocGholish netwerk offline, en de inloggegevens van bijna 74.000 Fortinet firewalls bleken op straat te liggen. Daarnaast bracht F5 twee kritieke noodpatches uit voor de webserver NGINX, liep kunstmatige intelligentie als wapen, zwakke plek en geopolitiek drukmiddel door het hele dreigingsbeeld, en kreeg een fraudeur met deepfakes een stevige celstraf. We lopen het thema voor thema langs.
Vrouw gezocht na identiteitsfraude in Heemstede
De politie zoekt een vrouw die op zaterdag 4 april 2026 een pakket ophaalde bij een afhaalpunt in Heemstede dat niet van haar was. Ze toonde daarbij een foto van het identiteitsbewijs van het echte slachtoffer en nam het pakket mee.
The Gentlemen treft NL en BE, banktrojan belaagt 217 apps
In deze aflevering van het Cyber Journaal kijken we naar het nieuws van dinsdag 16 tot en met woensdag 17 juni. De ransomwaregroep The Gentlemen claimde in twee dagen een Nederlands en een Belgisch bedrijf, het Amsterdamse modemerk Patta dook op de afpersingssite van LockBit op, en de financiële geschillencommissie Kifid legde de bewijslast bij bankhelpdeskfraude nadrukkelijk bij de bank. Verder werden twee kwetsbaarheden in veelgebruikte webhosting actief misbruikt, liep kunstmatige intelligentie als rode draad door het dreigingsbeeld, en verstopten spionnen en ransomwaregroepen hun verkeer in vertrouwde infrastructuur. We lopen het thema voor thema langs.
Reactie plaatsen
Reacties