Negli ultimi anni il mercato criminale del ransomware si è basato su un modello riproducibile: kit preconfezionati, infrastrutture di pagamento e affiliati che eseguono campagne (RaaS).
La nascita di strumenti IA locali cambia la superficie di attacco: PromptLock, prototipo dimostrativo sviluppato in ambiente accademico, ha mostrato che una LLM caricata localmente può fungere da “motore decisionale” per un ransomware, generando payload dinamici e orchestrando il ciclo di attacco senza dipendere da un C2 tradizionale.
Questo fatto impone una revisione delle TTP difensive: non più solo signature-based detection, ma telemetry comportamentale e governance dei modelli AI in infrastruttura.
Meccanica operativa di PromptLock
PromptLock è strutturato come un orchestratore (implementato in Go) che invia prompt testuali a una LLM locale (es. gpt-oss-20b esposta tramite Ollama). La LLM genera codice Lua on-the-fly che viene eseguito sul sistema compromesso. Le fasi principali sono: ricognizione file system, scoring dei file per valore (selezione obiettivi), esfiltrazione condizionale e cifratura selettiva. Ogni fase è implementata come prompt – codice – esecuzione, in un ciclo ripetuto fino al termine dell’attacco.
Caratteristiche salienti tecniche:
- Output non deterministico: la LLM, per natura stocastica, produce varianti funzionali del payload ad ogni run (nomi variabili, ordering di istruzioni differente), complicando la generazione di IOC statici.
- Offline-first: il motore può operare interamente localmente, quindi non è necessariamente visibile nei log di rete come un tipico C2.
- Delegazione decisionale: l’attaccante fornisce il flusso di alto livello; la LLM prende decisioni operative (es. quali file esfiltrare prima), riducendo il controllo umano diretto.
Architettura e flusso operativo
Orchestratore (Go) | v Prompt (NL) -> LLM locale | v Generazione codice Lua (scan/exfil/encrypt) | v Esecuzione script -> Telemetry (EDR) osservabile | v Nuovo prompt / ripetizione
Dal punto di vista difensivo, i segnali utili restano comportamentali: esecuzione ripetuta di interpreti/script, spike I/O, creazione massiva di archivi cifrati, chiamate a processi sospetti.
Differenze rispetto al ransomware tradizionale
Le discrepanze operative con il modello RaaS classico sono significative:
- Niente locker statico: non esiste un eseguibile monolitico identificabile; il payload è generato dinamicamente.
- Ridotta telemetria di rete: assenza di contatti C2 persistenti rende meno efficaci tecniche di network IOC.
- Polimorfismo intrinseco: la LLM introduce variabilità funzionale, ostacolando matching basato su hash o stringhe.
- Maggiore automatizzazione: diminuisce la necessità di skill manuale per creare exploit o custom payload.
Queste caratteristiche richiedono un riposizionamento difensivo verso soluzioni behavior-driven, runtime integrity checks e controllo delle execution environments.
Limiti del PoC e possibili vettori di evoluzione
Il prototipo è incompleto: mancano moduli robusti per persistenza, privilege escalation e movimento laterale. Alcune scelte tecniche (uso di algoritmi di cifratura semplici o lacune nei meccanismi di distruzione dati) suggeriscono uno scopo dimostrativo. Tuttavia l’architettura è modulare: integrando exploit chain, credential theft e orchestrazione AI si ottengono facilmente capacità comparabili ai ransomware di fascia alta. Anche il costo operativo è basso: modelli open-weight locali azzerano costi API ricorrenti, abbassando la soglia d’ingresso per attori con capacità tecniche limitate.
Reazione underground e rischio di weaponizzazione
La reazione nei forum criminali è stata rapida: figure note nel panorama RaaS hanno commentato favorevolmente il concetto tecnico. Questo indica interesse pragmatico: un orchestratore LLM può essere fornito agli affiliati come “kit intelligente” che produce payload on-demand, trasformando il modello RaaS in un ipotetico LLM-as-a-threat. La weaponizzazione richiederà integrazioni (persistence, lateral movement, offloading dati), ma la traiettoria è tecnicamente percorribile.
Implicazioni per la difesa e contromisure pratiche
Per mitigare questa classe emergente di minacce è necessario:
- Controllo dell’esecuzione di modelli locali (whitelisting, isolamento in container, policy di esecuzione).
- MDR con telemetria comportamentale e risposta gestita: individuare pattern come esecuzione massiva di interpreti/script, spike I/O o processi che producono numerosi archivi cifrati e attivare contromisure operative.
- Restrizioni di rete per processi non firmati e controllo egress/ingress per nuovi eseguibili.
- Policy di governance per LLM in azienda: chi può deployare modelli, in quali ambienti e con quali prompt logging.
- Backup immutabili e test di ripristino per ridurre leva economica dell’estorsione.
In definitiva
PromptLock è un proof-of-concept che cristallizza una tendenza: l’IA può diventare il livello decisionale di un attacco, rendendolo più adattivo e meno ancorato a segnature statiche. Il modello RaaS non sparirà immediatamente, ma potrebbe evolvere rapidamente verso soluzioni ibride dove l’orchestratore LLM riduce la complessità operativa per gli affiliati.
Difesa e detection devono anticipare: control plane per modelli locali, telemetry avanzata e governance sui flussi di esecuzione diventeranno leve critiche nella risposta alla nuova generazione di ransomware.
Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO
