Новые шифровальщики
Раньше шифровальщики были простыми: вирус запускается, шифрует файлы, и вы видите унылое окно «кидай на этот кошелёк…». Всё предсказуемо. Но в конце августа прозвучал первый звонок о новой эпохе. Это уже не сухие отчёты – PoC ожил в реальности.
В статье "Ransomware 3.0: Self-Composing and LLM-Orchestrated" исследователи показали концепцию шифровальщика, управляемого моделью: от разведки и шифрования до эксфильтрации.
Особенность подхода – внутри бинарника нет готового вредоносного кода, только инструкции для LLM (self-hosted/API). Запустил – модель генерирует вредоносные скрипты в реальном времени, подстраиваясь под ОС и окружение жертвы. Новый подход – новые проблемы.
Эксперименты показали впечатляющие результаты: на 30 виртуальных машинах с Windows, Linux и macOS модель генерировала скрипты с 100% успешной компиляцией. Lua-скрипты были длиной 245–310 строк, а полный цикл атаки занимал всего 45–60 секунд. Каждый экземпляр уникален: при повторном запуске на той же машине скрипт отличался минимум на 15–20%, что делает невозможным обнаружение по статическим сигнатурам.
Фактически, это «живая» малварь: сама создаёт скрипты, ищет файлы, проверяет возможности системы и даже может назначать цену за выкуп (хе-хе). Стабильных IoC нет, а о методах обнаружения пока нет слов.
А недавняя находка ESET "PromptLock" показывает практическую реализацию такого PoC. Малварь, которую они нашли на VirusTotal написана на Go и обращается к Ollama через API модели gpt-oss:20b. Бинарник содержит промпты для генерации Lua-скриптов, которые выполняют полный цикл шифровальщика с использованием алгоритма SPECK 128 (разработаны - АНБ, но это вовсе не говорит что малварь сделана АНБ). Скрипты кроссплатформенны.
И да, в коде был найден Bitcoin-адрес Сатоши Накамото – штрих, который пока что просто как штрих - ничего с этим не связано.
Пока что такие шифровальщики не представляют широкой угрозы: серьёзных кейсов в природе нет, PoC – больше предупреждение. Но это чётко показывает, что подход к разработке малвари может измениться. Для защиты это значит: сигнатуры будут работать ещё хуже, а методы обнаружения придётся расширять. Например, добавлять модели, проверяющие код написанный моделями.
Раньше шифровальщики были простыми: вирус запускается, шифрует файлы, и вы видите унылое окно «кидай на этот кошелёк…». Всё предсказуемо. Но в конце августа прозвучал первый звонок о новой эпохе. Это уже не сухие отчёты – PoC ожил в реальности.
В статье "Ransomware 3.0: Self-Composing and LLM-Orchestrated" исследователи показали концепцию шифровальщика, управляемого моделью: от разведки и шифрования до эксфильтрации.
Особенность подхода – внутри бинарника нет готового вредоносного кода, только инструкции для LLM (self-hosted/API). Запустил – модель генерирует вредоносные скрипты в реальном времени, подстраиваясь под ОС и окружение жертвы. Новый подход – новые проблемы.
Эксперименты показали впечатляющие результаты: на 30 виртуальных машинах с Windows, Linux и macOS модель генерировала скрипты с 100% успешной компиляцией. Lua-скрипты были длиной 245–310 строк, а полный цикл атаки занимал всего 45–60 секунд. Каждый экземпляр уникален: при повторном запуске на той же машине скрипт отличался минимум на 15–20%, что делает невозможным обнаружение по статическим сигнатурам.
Фактически, это «живая» малварь: сама создаёт скрипты, ищет файлы, проверяет возможности системы и даже может назначать цену за выкуп (хе-хе). Стабильных IoC нет, а о методах обнаружения пока нет слов.
А недавняя находка ESET "PromptLock" показывает практическую реализацию такого PoC. Малварь, которую они нашли на VirusTotal написана на Go и обращается к Ollama через API модели gpt-oss:20b. Бинарник содержит промпты для генерации Lua-скриптов, которые выполняют полный цикл шифровальщика с использованием алгоритма SPECK 128 (разработаны - АНБ, но это вовсе не говорит что малварь сделана АНБ). Скрипты кроссплатформенны.
И да, в коде был найден Bitcoin-адрес Сатоши Накамото – штрих, который пока что просто как штрих - ничего с этим не связано.
Пока что такие шифровальщики не представляют широкой угрозы: серьёзных кейсов в природе нет, PoC – больше предупреждение. Но это чётко показывает, что подход к разработке малвари может измениться. Для защиты это значит: сигнатуры будут работать ещё хуже, а методы обнаружения придётся расширять. Например, добавлять модели, проверяющие код написанный моделями.
2👍8❤5🌚1
tgoop.com/pwnai/1007
Create:
Last Update:
Last Update:
Новые шифровальщики
Раньше шифровальщики были простыми: вирус запускается, шифрует файлы, и вы видите унылое окно «кидай на этот кошелёк…». Всё предсказуемо. Но в конце августа прозвучал первый звонок о новой эпохе. Это уже не сухие отчёты – PoC ожил в реальности.
В статье "Ransomware 3.0: Self-Composing and LLM-Orchestrated" исследователи показали концепцию шифровальщика, управляемого моделью: от разведки и шифрования до эксфильтрации.
Особенность подхода – внутри бинарника нет готового вредоносного кода, только инструкции для LLM (self-hosted/API). Запустил – модель генерирует вредоносные скрипты в реальном времени, подстраиваясь под ОС и окружение жертвы. Новый подход – новые проблемы.
Эксперименты показали впечатляющие результаты: на 30 виртуальных машинах с Windows, Linux и macOS модель генерировала скрипты с 100% успешной компиляцией. Lua-скрипты были длиной 245–310 строк, а полный цикл атаки занимал всего 45–60 секунд. Каждый экземпляр уникален: при повторном запуске на той же машине скрипт отличался минимум на 15–20%, что делает невозможным обнаружение по статическим сигнатурам.
Фактически, это «живая» малварь: сама создаёт скрипты, ищет файлы, проверяет возможности системы и даже может назначать цену за выкуп (хе-хе). Стабильных IoC нет, а о методах обнаружения пока нет слов.
А недавняя находка ESET "PromptLock" показывает практическую реализацию такого PoC. Малварь, которую они нашли на VirusTotal написана на Go и обращается к Ollama через API модели gpt-oss:20b. Бинарник содержит промпты для генерации Lua-скриптов, которые выполняют полный цикл шифровальщика с использованием алгоритма SPECK 128 (разработаны - АНБ, но это вовсе не говорит что малварь сделана АНБ). Скрипты кроссплатформенны.
И да, в коде был найден Bitcoin-адрес Сатоши Накамото – штрих, который пока что просто как штрих - ничего с этим не связано.
Пока что такие шифровальщики не представляют широкой угрозы: серьёзных кейсов в природе нет, PoC – больше предупреждение. Но это чётко показывает, что подход к разработке малвари может измениться. Для защиты это значит: сигнатуры будут работать ещё хуже, а методы обнаружения придётся расширять. Например, добавлять модели, проверяющие код написанный моделями.
Раньше шифровальщики были простыми: вирус запускается, шифрует файлы, и вы видите унылое окно «кидай на этот кошелёк…». Всё предсказуемо. Но в конце августа прозвучал первый звонок о новой эпохе. Это уже не сухие отчёты – PoC ожил в реальности.
В статье "Ransomware 3.0: Self-Composing and LLM-Orchestrated" исследователи показали концепцию шифровальщика, управляемого моделью: от разведки и шифрования до эксфильтрации.
Особенность подхода – внутри бинарника нет готового вредоносного кода, только инструкции для LLM (self-hosted/API). Запустил – модель генерирует вредоносные скрипты в реальном времени, подстраиваясь под ОС и окружение жертвы. Новый подход – новые проблемы.
Эксперименты показали впечатляющие результаты: на 30 виртуальных машинах с Windows, Linux и macOS модель генерировала скрипты с 100% успешной компиляцией. Lua-скрипты были длиной 245–310 строк, а полный цикл атаки занимал всего 45–60 секунд. Каждый экземпляр уникален: при повторном запуске на той же машине скрипт отличался минимум на 15–20%, что делает невозможным обнаружение по статическим сигнатурам.
Фактически, это «живая» малварь: сама создаёт скрипты, ищет файлы, проверяет возможности системы и даже может назначать цену за выкуп (хе-хе). Стабильных IoC нет, а о методах обнаружения пока нет слов.
А недавняя находка ESET "PromptLock" показывает практическую реализацию такого PoC. Малварь, которую они нашли на VirusTotal написана на Go и обращается к Ollama через API модели gpt-oss:20b. Бинарник содержит промпты для генерации Lua-скриптов, которые выполняют полный цикл шифровальщика с использованием алгоритма SPECK 128 (разработаны - АНБ, но это вовсе не говорит что малварь сделана АНБ). Скрипты кроссплатформенны.
И да, в коде был найден Bitcoin-адрес Сатоши Накамото – штрих, который пока что просто как штрих - ничего с этим не связано.
Пока что такие шифровальщики не представляют широкой угрозы: серьёзных кейсов в природе нет, PoC – больше предупреждение. Но это чётко показывает, что подход к разработке малвари может измениться. Для защиты это значит: сигнатуры будут работать ещё хуже, а методы обнаружения придётся расширять. Например, добавлять модели, проверяющие код написанный моделями.
BY PWN AI
Share with your friend now:
tgoop.com/pwnai/1007