Carregando agora

O ‘primeiro’ ataque de ransomware executado por IA ainda precisava de um humano

O ‘primeiro’ ataque de ransomware executado por IA ainda precisava de um humano

Na semana passada, pesquisadores da empresa de segurança em nuvem Sysdig disseram ter documentado o primeiro caso conhecido de “ransomware agente”. Foi uma operação de extorsão, apelidada de JadePuffer, na qual um agente de IA – e não um humano – administrou a execução técnica de um ataque cibernético no mundo real do início ao fim. O agente invadiu um servidor vulnerável, roubou credenciais, moveu-se pela rede do alvo, criptografou arquivos e até escreveu sua própria nota de resgate, adaptando-se aos obstáculos ao longo do caminho como um hacker humano faria. A cobertura do financiamento descreveu-o como executado “sem qualquer supervisão humana”, com “nenhum humano no teclado”.

Isso não é bem o completo foto. Em um entrevista na segunda-feira, com o CyberScoop, Michael Clark da Sysdig, diretor sênior de pesquisa de ameaças da empresa, esclareceu que um ser humano ainda estava muito envolvido – mas não na execução técnica. “Um humano ainda configurou e apontou a operação e provisionou a infraestrutura por trás dela, o servidor de comando e controle, o servidor de teste usado para os dados roubados e escolheu uma vítima”, disse Clark. As credenciais usadas para invadir o banco de dados da vítima, acrescentou, não foram coletadas pelo próprio agente de IA; alguém os obteve separadamente, através de um compromisso prévio, e os entregou à operação.

Nada disso contradiz a afirmação original de Sysdig, e os detalhes técnicos do ataque permanecem notáveis ​​por si só – até selvagens. O agente entrou através de um bug conhecido no Fluxo Languma ferramenta popular de código aberto para criar aplicativos LLM, depois mudou para um servidor MySQL de produção e explorou outra falha conhecida para obter acesso de administrador. Ele criptografou mais de 1.300 registros de configuração e não apenas deixou uma nota de resgate que ele mesmo escreveu, mas também deixou um endereço Bitcoin para onde o resgate poderia ser enviado. Sysdig não revelou quem foi o alvo.

As técnicas eram aparentemente bastante comuns, o que se destacava era a rapidez e a transparência envolvidas. O agente corrigiu uma falha de login em 31 segundos, narrando seu próprio raciocínio em comentários de código em linguagem natural durante todo o processo.

Um detalhe que inicialmente parecia turvar o quadro foi esclarecido. Clark disse à CyberScoop que a Sysdig descobriu que “múltiplos modelos foram usados ​​no ataque”, citando chaves coletadas para OpenAI, Anthropic, DeepSeek e Gemini – linguagem que deixou em aberto a questão de saber se vários modelos alimentaram ativamente diferentes estágios da intrusão. Solicitado a esclarecer, Clark disse ao TechCrunch que essas chaves eram simplesmente parte do que o agente roubou, e não uma evidência do que o estava motivando.

“O agente vasculhou o host Langflow em busca de qualquer coisa valiosa – chaves de API do provedor, credenciais de nuvem, carteiras de criptomoedas e configurações de banco de dados – e essas chaves do provedor faziam parte do saque”, disse ele por e-mail. “Eles são indicativos do que o invasor considerou que valia a pena tomar, mas não nos dizem qual modelo estava tomando as decisões.”

Sobre o modelo que realmente executa o JadePuffer, Clark disse que a Sysdig “não foi capaz de identificar o modelo específico que aciona o agente” e não tem visibilidade do prompt ou configuração do sistema.

A teoria do pesquisador da Microsoft Geoff McDonald’s, oferecido no LinkedIn há vários dias, vale a pena revisitá-lo sob essa luz. McDonald suspeitou que um modelo de peso aberto sem treinamento de segurança, em vez de um modelo de fronteira, estava por trás do ataque, com base em sua própria experiência de equipe vermelha mostrando que as camadas de segurança dos laboratórios de fronteira resistem bem. A própria conta da Sysdig não confirma nem descarta isso.

A postagem do McDonald’s também alertou que as campanhas de ransomware agora são limitadas principalmente pelo orçamento do invasor, e não pelo esforço humano, aumentando a possibilidade de “milhares ou dezenas de milhares de campanhas simultâneas”. Essa preocupação é um pouco mais difícil de conciliar com o que Clark descreveu na segunda-feira. (Se um ser humano ainda tiver que escolher cada vítima, provisionar infraestrutura e obter credenciais de banco de dados para cada operação, isso será um gargalo, pelo menos.)

De qualquer forma, Clark disse ao CyberScoop, embora Sysdig ainda não tenha visto a mesma operação atingir outras vítimas, dado o quão barato é administrar um agente, ele espera que isso mude.

Quando você compra por meio de links em nossos artigos, podemos ganhar uma pequena comissão. Isso não afeta nossa independência editorial.

Publicar comentário

ISSO PODE LHE INTERESSAR