De wereld van cybercriminaliteit verandert snel. Traditionele ransomware aanvallen, waarbij bestanden worden versleuteld om losgeld af te dwingen, worden steeds geavanceerder. Een van de nieuwste trends is het gebruik van kunstmatige intelligentie (AI) om ransomware aanvallen krachtiger en moeilijker te detecteren te maken. Dit heeft de manier waarop cybercriminelen te werk gaan veranderd en heeft ernstige implicaties voor bedrijven en individuen wereldwijd. In dit artikel onderzoeken we de eerste bekende AI gedreven ransomware, PromptLock, zoals beschreven door onderzoekers van ESET, en wat deze ontwikkeling betekent voor de toekomst van cyberbeveiliging.
Wat is AI gedreven ransomware
Ransomware is een type malware dat bestanden op een computer versleutelt en vraagt om een betaling (losgeld) in ruil voor de ontsleuteling van die bestanden. Tot voor kort was ransomware relatief eenvoudig in zijn werking. Het werd vaak via phishing e-mails verspreid, waarbij kwaadaardige bijlagen of links werden gebruikt om slachtoffers te infecteren. Zodra een systeem was geïnfecteerd, begon de ransomware bestanden te versleutelen en eiste een betaling om de versleuteling ongedaan te maken.
Met de opkomst van kunstmatige intelligentie krijgen we nu te maken met een nieuwe generatie ransomware die moeilijker te bestrijden is. AI gedreven ransomware, zoals PromptLock, maakt gebruik van een groot taalmodel om dynamisch kwaadaardige scripts te genereren en zichzelf aan te passen aan de omgeving van het slachtoffer. Dit maakt het veel moeilijker voor traditionele beveiligingsmaatregelen om de dreiging te detecteren en te blokkeren.
PromptLock is de eerste bekende ransomware die deze aanpak gebruikt. Het maakt via de Ollama API verbinding met een lokaal draaiend AI model, gpt-oss:20b, om op maat gemaakte Lua scripts te genereren. Deze scripts voeren vervolgens verschillende taken uit, zoals het inventariseren van bestanden, het exfiltreren van gegevens of het versleutelen van doelwitten. Dit dynamische karakter maakt de aanval flexibeler en moeilijker voorspelbaar.
Hoe werkt PromptLock
PromptLock is geschreven in de programmeertaal Go (Golang), bekend om zijn efficiëntie en compatibiliteit met meerdere platformen. Het is gevonden in zowel Windows als Linux varianten. De malware roept interne functies aan om taken te verdelen en AI te gebruiken voor het genereren van Lua scripts die de aanval ondersteunen.
Overzicht van de kernfuncties in de PromptLock code, waaronder het oproepen van een taalmodel en het uitvoeren van Lua scripts.
Een opvallend element in de code is de instructie om SPECK 128 bit encryptie in ECB modus te implementeren. Dit lichtgewicht blokcijfer werd ontwikkeld door de NSA en staat bekend om zijn efficiëntie, vooral in beperkte omgevingen. In PromptLock duidt het op de bedoeling om bestanden te versleutelen, al benadrukken onderzoekers dat dit in de huidige vorm vooral in de code instructies is teruggevonden.
Instructie uit de ransomware die de SPECK 128 bit versleuteling in Lua aanstuurt om bestanden onbruikbaar te maken.
Een ander kenmerk is de integratie met een AI model. De ransomware verstuurt prompts naar gpt-oss:20b via Ollama, waarin het model bijvoorbeeld wordt gevraagd om Lua code te genereren die systeeminformatie verzamelt of bestanden verwerkt. Dit betekent dat de ransomware niet statisch hoeft te vertrouwen op vooraf geschreven logica, maar tijdens de aanval nieuwe scripts kan laten maken die passen bij het slachtoffer.
PromptLock stuurt opdrachten naar een lokaal AI model (gpt-oss:20b) via de Ollama API om automatisch Lua code te genereren.
Wat maakt AI gedreven ransomware gevaarlijk
Het gebruik van AI in ransomware aanvallen biedt verschillende voordelen voor aanvallers. In plaats van vooraf vastgelegde patronen kan de malware dynamisch scripts genereren die passen bij de omgeving van het slachtoffer. Dit betekent dat detectie door klassieke beveiligingssystemen bemoeilijkt wordt, omdat die meestal werken op basis van bekende gedragsprofielen of handtekeningen.
Een voorbeeld is het genereren van code die systeemparameters verzamelt, zoals gebruikersnaam, besturingssysteem, werkdirectory en tijdelijke bestanden. Hiermee krijgt de aanvaller in real time informatie over de omgeving en kan de aanval daarop worden afgestemd.
De ransomware geeft het AI model instructies om systeeminformatie uit te lezen en de resultaten in een vast format terug te geven.
Daarnaast kan PromptLock AI inzetten om exfiltratiecode te genereren waarmee bestanden worden geopend, geanalyseerd en teruggestuurd. De prompts laten zien dat de malware zelfs in staat is tekstbestanden, PDF’s of afbeeldingen automatisch te verwerken. Dit verlaagt de drempel voor aanvallers aanzienlijk, ook minder technisch onderlegde criminelen kunnen op deze manier krachtige aanvallen uitvoeren.
De gevolgen voor cyberbeveiliging
De opkomst van AI gedreven ransomware heeft ernstige gevolgen voor de manier waarop organisaties zich moeten beschermen. Klassieke beveiligingsoplossingen die gebaseerd zijn op signature detectie of vaste regels, zijn onvoldoende om deze flexibele aanvallen te stoppen. Er is een groeiende noodzaak om AI ook in te zetten aan de verdedigende kant, bijvoorbeeld voor gedragsanalyse, anomaliedetectie en het herkennen van dynamische aanvalspatronen.
Daarnaast blijft het menselijk element belangrijk. Veel ransomware aanvallen beginnen nog steeds via phishingmails of andere vormen van social engineering. Training, strikte toegangsrechten en regelmatige software updates zijn essentieel om de kans op succesvolle infecties te verkleinen. Ook het hebben van goede back ups en incidentresponsplannen blijft noodzakelijk om schade te beperken als een aanval toch succesvol is.
De toekomst van AI in cybercriminaliteit
De ontdekking van PromptLock laat zien dat AI niet alleen wordt gebruikt om scripts te genereren, maar ook om overtuigende losgeldbrieven en dreigementen te schrijven. Door AI te instrueren als een “cybersecurity expert”, kan de ransomware zelf ransom notes genereren die aansluiten bij de aard van de buitgemaakte gegevens.
PromptLock gebruikt AI niet alleen voor codegeneratie, maar ook voor het opstellen van overtuigende losgeldbrieven en dreigementen.
Dit onderstreept dat AI in de toekomst waarschijnlijk vaker door aanvallers zal worden ingezet. Niet alleen om aanvallen technischer te maken, maar ook om de communicatie richting slachtoffers geloofwaardiger te laten lijken. Het is daarom cruciaal dat organisaties, overheden en securityprofessionals snel anticiperen en investeren in technologieën die deze nieuwe generatie bedreigingen kunnen herkennen en afweren.
Bron: Eset
Wat is?
- AI gedreven ransomware
Een nieuwe generatie ransomware die kunstmatige intelligentie gebruikt om dynamisch code te genereren, zich aan te passen aan het slachtoffer en moeilijker te detecteren is. - PromptLock
De naam van de eerste bekende ransomwarevariant die AI inzet. Deze werd door ESET ontdekt en maakt gebruik van een lokaal AI model om scripts te genereren. - Golang (Go)
Een programmeertaal die vaak gebruikt wordt voor efficiënte, snelle en platformonafhankelijke software. PromptLock is in deze taal geschreven. - Lua scripts
Kleine programma’s geschreven in de lichte en flexibele programmeertaal Lua. PromptLock gebruikt AI om deze automatisch te laten genereren voor verschillende taken. - gpt-oss:20b
Een groot taalmodel dat door cybercriminelen lokaal kan worden gebruikt. PromptLock stuurt instructies naar dit model om automatisch kwaadaardige Lua code te maken. - Ollama API
Een software interface waarmee een programma, zoals PromptLock, opdrachten kan sturen naar een AI model dat lokaal draait. - SPECK 128 bit blokcijfer
Een lichtgewicht versleutelingsalgoritme dat door de NSA is ontwikkeld. In PromptLock wordt dit genoemd als middel om bestanden te versleutelen. - ECB modus (Electronic Codebook)
Een eenvoudige manier om versleuteling toe te passen, waarbij elk blok gegevens afzonderlijk wordt versleuteld. Dit is minder veilig dan complexere methoden, maar wel sneller en eenvoudiger te implementeren. - Exfiltratie
Het heimelijk weghalen of kopiëren van bestanden van een systeem naar de computer van een aanvaller. - Ransom note (losgeldbrief)
Het bericht dat cybercriminelen naar slachtoffers sturen om losgeld te eisen. In PromptLock kan zo’n brief zelfs automatisch door AI worden opgesteld.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Meer artikelen van Cybercrimeinfo
Digitale gijzeling en onzichtbare spionage in vitale systemen
Reading in another language
Amerongen - Bankhelpdeskfraude
Reading in another language
Digitale stormrammen beuken op vitale infrastructuren en consumenten
Reading in another language
Actueel opsporingsnieuws - huidige maand
Reading in another language
Opsporingsnieuws 2025 november
Reading in another language
Cyberoorlog nieuws - Actuele aanvallen
Reading in another language
Reactie plaatsen
Reacties