Un nuovo ransomware chiamato PromptLock sta facendo parlare di sé, portando in primo piano un rischio emergente nel mondo della cybersecurity: sfruttare direttamente modelli di intelligenza artificiale per lanciare attacchi. Scritto in Golang, questo malware si basa su una tecnica chiamata prompt injection per manipolare un grande modello linguistico e far sì che sia l’intelligenza artificiale stessa a compiere azioni dannose. Così riesce a colpire sistemi Windows, macOS e Linux, criptando file e rubando dati in modo difficile da individuare.
Promptlock: come funziona e cosa c’è dietro
Il ransomware utilizza Ollama, un’API open-source che permette di interagire con modelli linguistici come gpt-oss:20b, una versione locale del modello di intelligenza artificiale di OpenAI. PromptLock invia comandi a questo modello sfruttando la prompt injection, cioè inserisce istruzioni nascoste nei messaggi per far eseguire all’IA compiti malevoli. Il codice in Golang gli consente di operare su più sistemi: Windows, macOS e Linux.
L’attacco non richiede che il modello LLM sia caricato completamente sul dispositivo vittima. Gli hacker possono creare un tunnel o un proxy verso server remoti che eseguono Ollama e il modello IA, così da ridurre il carico sulla macchina bersaglio e rendere più difficile rintracciare l’attività. I file vengono criptati con l’algoritmo SPECK a 128 bit, una crittografia efficace su vari sistemi operativi.
Tra le capacità più pericolose di PromptLock c’è la scansione dei file locali alla ricerca di dati sensibili, l’esfiltrazione verso server esterni controllati dai criminali e la creazione di richieste di riscatto personalizzate, che imitano lo stile di gruppi ransomware famosi. Nel codice analizzato, l’indirizzo Bitcoin per il pagamento è addirittura quello associato a Satoshi Nakamoto, il creatore di Bitcoin, probabilmente per aumentare l’effetto intimidatorio.
La scoperta su Virustotal e l’analisi di ESET
Il 25 agosto, Anton Cherepanov, ricercatore senior di malware di ESET, ha trovato un nuovo campione di ransomware su VirusTotal, la piattaforma per l’analisi dei file sospetti. Il malware sembrerebbe partire dagli Stati Uniti, anche se la sua origine precisa resta incerta. Questa scoperta si inserisce in un’ondata di minacce che sfruttano l’intelligenza artificiale nelle fasi di attacco, complicando la gestione dei rischi.
Cherepanov spiega che questa versione di PromptLock sembra ancora un proof-of-concept. Alcune funzioni, come la cancellazione definitiva dei dati per impedirne il recupero, non sono ancora attive. Però la struttura del malware lascia intendere che potrebbe presto evolvere in un’arma concreta per attacchi reali. ESET ha deciso di rendere pubbliche queste informazioni per preparare la comunità di esperti senza sottovalutare il pericolo.
Il punto di forza di PromptLock è la sua capacità di adattarsi in tempo reale, generando nuovi script malevoli in Lua durante l’esecuzione. Questo fa sì che gli indicatori di compromissione cambino continuamente, rendendo molto difficile bloccarlo o individuarlo con i tradizionali sistemi di sicurezza basati su firme statiche.
Prompt Injection: la tecnica dietro l’attacco
La prompt injection è la chiave che permette a PromptLock di usare i modelli di linguaggio per azioni dannose. Consiste nell’inserire nelle richieste all’IA istruzioni nascoste che aggirano i filtri e le regole interne al modello. Così, l’IA si ritrova a eseguire compiti che normalmente non dovrebbe, come cercare informazioni sensibili o creare codice malevolo.
Si tratta di una vulnerabilità molto seria, soprattutto perché i modelli LLM vengono sempre più usati in aziende e enti pubblici per automatizzare processi. Se un hacker riesce a entrare con privilegi elevati in un sistema che usa questi modelli, può manipolare l’IA contro la stessa organizzazione. PromptLock è il primo esempio concreto di questa minaccia che diventa attacco vero e proprio.
In più, questa architettura riduce la necessità di avere grandi modelli caricati sulla macchina attaccata. Gli hacker possono controllare da remoto la risposta del modello e inviare comandi in tempo reale, nascondendo meglio le tracce e rendendo più complicata la ricerca delle prove.
I rischi per le aziende e come prepararsi
PromptLock rappresenta una nuova sfida per chi integra intelligenze artificiali nei propri sistemi. Questi agenti IA spesso richiedono permessi amministrativi estesi per funzionare, aprendo una porta agli attaccanti se i controlli sono deboli. Inoltre, la capacità del malware di creare script su misura ogni volta che parte rende inefficaci molte difese tradizionali.
Le aziende devono quindi rivedere le misure di sicurezza per i sistemi che lavorano con LLM, introducendo controlli più stringenti e limitando i permessi inutili. È fondamentale anche monitorare le comunicazioni in uscita per evitare che un malware possa stabilire tunnel con server esterni. Con ransomware come PromptLock, è chiaro che l’IA non è più solo uno strumento d’aiuto, ma può diventare un’arma autonoma.
Finora PromptLock non è stato usato in attacchi su vasta scala, ma il segnale è chiaro. Esperti ricordano che episodi recenti, come l’attacco che ha paralizzato temporaneamente la rete governativa del Nevada causando disagi negli uffici, mostrano come queste minacce stiano diventando realtà quotidiana. Le autorità federali e locali stanno lavorando insieme per gestire la situazione e diffondere informazioni coordinate, evitando panico e fake news.
In definitiva, PromptLock conferma che serve aggiornare le strategie di difesa informatica. L’intelligenza artificiale va vista non solo come una risorsa, ma anche come un nuovo possibile vettore d’attacco, capace di agire da sola e aggirare molte delle contromisure finora usate.
Ultimo aggiornamento il 28 Agosto 2025 da Andrea Ricci
