Hiervoor waarschuwen Lucas Apa en Cesar Cerrudo van beveiligingsbedrijf IOActive, dat Proof of Concept ransomware heeft gemaakt om aan te tonen dat robots door ransomware in gijzeling kunnen worden genomen. Ransomware is een vorm van kwaadaardige software die data of systemen versleuteld, waarna losgeld wordt geëist van slachtoffers die hun data of systemen weer toegankelijk willen maken. 

IOActive deed in 2017 al onderzoek naar de beveiliging van zowel industriële als commerciële robots. Hieruit bleek dat veel robots beveiligingsproblemen bevatten; in totaal werden ruim 50 beveiligingsgaten opgespoord door het bedrijf. De Proof of Concept ransomware die IOActive heeft ontwikkeld is specifiek gericht op de robot Nao van het Japanse bedrijf SoftBank. IOActive wijst er echter op dat de software van Nao ook gebruikt wordt door Pepper, een andere robot van SoftBank. De ransomware kan daarom ook worden ingezet tegen Pepper. 

De kwaadaardige software maakt gebruik van een beveiligingsprobleem in het besturingssysteem van Nao. IOActive stelt hiervan in januari 2017 al melding te hebben gemaakt bij SoftBank, maar geeft aan dat het lek voor zover bekend niet is gedicht. Met behulp van de Proof of Concept ransomware zijn onderzoekers van IOActive erin geslaagd via internet toegang te verkrijgen tot een Nao robot, de configuratie van de robot te veranderen, beheerdersfuncties uit te schakelen en op afstand video en audio van de robot te monitoren. Ook wisten de onderzoekers de functie die het mogelijk maakt de robot te resetten naar fabrieksinstellingen onbruikbaar te maken, zodat de eigenaar van de robot de ransomware niet eenvoudig kan verwijderen. 

IOActive wijst erop dat robots die offline zijn bedrijven iedere dag geld kosten, waardoor ransomware die is toegespitst op robots veel schade kan veroorzaken in het bedrijfsleven. In combinatie met het hoge prijskaartje van veel robots zorgt dit ervoor dat bedrijven relatief snel geneigd zullen zijn na een ransomwarebesmetting tot betaling over te gaan. Beveiligingsbedrijven adviseren over het algemeen echter niet tot betaling over te gaan, aangezien er geen garantie is dat gegijzelde systemen of data na betaling daadwerkelijk door de aanvallers weer toegankelijk worden gemaakt.