Neue Ransomware namens PromptLock entdeckt. Die Schadsoftware erstellt Skripte mit KI in Echtzeit und führt sie direkt aus.
Sicherheitsforscher von ESET haben eine neue Ransomware namens PromptLock entdeckt. Die Schadsoftware erstellt Skripte mit KI in Echtzeit und führt sie direkt aus.
Erste Varianten aufgetaucht
Auf der Analyseplattform VirusTotal sind erste Varianten der neuen Ransomware PromptLock aufgetaucht. Laut ESET wurden Teile der Schadsoftware erstmals am 25. August 2025 aus den USA hochgeladen. Die Ransomware richtet sich sowohl gegen Privatrechner als auch gegen Firmennetzwerke und sogar kritische Systeme wie Stromversorgungscontroller.
PromptLock nutzt OpenAI-Modell
Die Ransomware ist in der plattformunabhängigen Programmiersprache Go geschrieben. Deshalb wurden Varianten für Windows und Linux bereits auf VirusTotal entdeckt. Für ihre Kernfunktion greift die Schadsoftware auf das Open-Source-Sprachmodell gpt-oss:20b zurück, welches erst diesen Monat von OpenAI veröffentlicht worden ist. Um unentdeckt zu bleiben und das Herunterladen von riesigen Modellen zu vermeiden, wird die KI aber nicht direkt auf dem infizierten System ausgeführt. Stattdessen baut PromptLock eine getarnte Verbindung zu einem Server der Angreifer auf, auf dem das Sprachmodell läuft. Diese Vorgehensweise vermeidet eine auffällige Kommunikation und macht es für Sicherheitssysteme schwer, den Angriff zu bemerken. PromptLock kontaktiert diese KI, um in Echtzeit Lua-Skripte zu generieren. Da die Ransomware für jeden Angriff individuelle Skripte erstellt, funktionieren sie auf den verschiedensten Betriebssystem.
KI-Skripte statt fester Befehle
Statt immer den gleichen Code auszuführen, lässt PromptLock die KI jedes Mal neue Skripte generieren. Diese durchsuchen das Dateisystem, verschlüsseln Daten und finden wichtige Informationen. Sogar Erpresserbriefe kann man damit dynamisch erstellen und auf das jeweilige Opfer zuschneiden. Für Sicherheitsforscher und Antivirenprogramme bedeutet dieser Ansatz eine massive Herausforderung. Die Ransomware kann bei jeder Infektion unterschiedlich aussehen, was die Erkennung erschwert.
PromptLock scheinbar Proof-of-Concept, aber gefährlich
Laut ESET handelt es sich bei den gefundenen Samples bisher eher um ein Proof-of-Concept und nicht um eine breit eingesetzte Schadsoftware. Die Funktionalität von PromptLock ist noch nicht voll ausgearbeitet. So enthält der Code beispielsweise bereits eine destruktive Funktion zur dauerhaften Datenlöschung, die aber in der aktuellen Version noch nicht aktiviert ist. Auch die in den Prompts hinterlegte Bitcoin-Adresse, die scheinbar Satoshi Nakamoto (dem Erfinder von Bitcoin) gehört, deutet auf einen Testlauf hin.
Kein Einzelfall: KI macht Cybercrime einfacher
Das KI für Cyberkriminalität ausgenutzt wird, ist an sich nichts Neues. Ein neuer Bericht von Anthropic, den Entwicklern von Claude, zeigt wie verbreitet KI von Kriminellen genutzt wird.
So nutzte sogar eine Person mit nur grundlegenden Programmierkenntnissen Claude, um eine funktionierende Ransomware zu entwickeln. Diese haben Unbekannte anschließend im Netz verkauft. Auch für aufwändige Betrugsaktionen aus Nordkorea wurde KI eingesetzt. Dort nutzten IT-Mitarbeiter das Modell, um gefälschte Identitäten zu erstellen. Dadurch konnten sie Bewerbungsprozesse bei großen US-Tech-Unternehmen bestehen und tatsächlich technische Arbeit liefern. Auch bei Phishing-Angriffen kann man KI verwenden, um massenhaft überzeugende und stark personalisierte E-Mails zu generieren, die von echten kaum zu unterscheiden sind.
