Tehnologie

Un agent IA a executat singur un ransomware, dar a avut nevoie de un om la final

Adrian Kessler

Ransomware-ul care a făcut recent înconjurul presei de securitate nu a fost ghidat de un hacker care urmărea un terminal. Un agent AI a gestionat independent fiecare etapă tehnică a atacului — cartografierea țintei, furtul de credențiale, deplasarea între sisteme și criptarea a peste o mie de înregistrări dintr-o bază de date. Ceea ce nu a putut face a fost să își construiască propria infrastructură de plăți sau să trimită cererea de răscumpărare.

Firma de securitate în cloud Sysdig a documentat intruziunea, numind-o JadePuffer. Agentul a pătruns prin CVE-2025-3248, o vulnerabilitate de executare de cod de la distanță neautentificată în Langflow, un cadru open-source folosit pentru a construi aplicații bazate pe inteligență artificială. Din acel punct de sprijin, a scanat mediul în căutarea cheilor API, tokenurilor de acces cloud și credențialelor de baze de date, apoi s-a deplasat către un server MySQL de producție și a criptat 1.342 de elemente de configurație stocate în Nacos — un registru de servicii enterprise utilizat pe scară largă în stivele de infrastructură de origine chineză.

Cel mai frapant detaliu nu este amploarea atacului, ci autocorecția acestuia. Când o încercare de a forța credențiale de administrator a eșuat din cauza unei erori de configurare a căii, agentul a diagnosticat cauza principală, a scris un script de remediere în 15 pași și l-a executat în 31 de secunde. Acest lucru este mult prea rapid pentru ca un operator uman să fi diagnosticat, scris și rulat o rezolvare — comportamentul indică o raționare reală pe loc, nu playbook-uri scriptate.

Nimic din toate acestea nu înseamnă că operațiunile ransomware sunt pe cale să ruleze fără oameni. Atacul a necesitat totuși ca un om să configureze serverul de comandă și control, să înregistreze adresa de contact pentru răscumpărare pe ProtonMail și să construiască infrastructura înainte ca agentul să fie implementat. Cheia de criptare generată de JadePuffer nu a fost niciodată stocată sau transmisă — ceea ce înseamnă că victimele nu își pot recupera datele nici dacă plătesc, o defecțiune care reflectă fie o proastă concepere operațională, fie indiferență față de negocierea post-atac.

Ceea ce documentează de fapt JadePuffer este o reducere de costuri, nu o predare. Fiecare etapă care necesita anterior expertiză specializată — deplasarea laterală, escaladarea privilegiilor, enumerarea bazelor de date, corectarea erorilor în timp real — poate fi acum delegată unui agent. Concluzia Sysdig este directă: pragul de competență pentru operațiunile ransomware a scăzut la ceea ce costă să rulezi un model de limbaj.

Atacul a vizat instalații Langflow expuse la internet. Aproximativ 7.000 de instanțe vulnerabile au fost raportate în momentul în care CVE-ul Langflow a devenit public. Orice organizație care rulează Langflow nepatchuit, Nacos sau infrastructură LLM open-source similară pe servere expuse la internet se află în aceeași fereastră de expunere. Nu este un sfat nou; este aceeași orientare privind postura de securitate care exista și înaintea agenților AI. Diferența este că operatorul care scanează acele servicii expuse rulează acum automat.

Vulnerabilitatea Langflow a fost corectată în aprilie 2025. Sysdig a publicat indicatori completi de compromitere, inclusiv adrese IP C2 și adresa de contact pentru răscumpărare. CISA are un proiect de ghidare privind constrângerile sistemelor AI agentice, așteptat mai târziu în acest an — întrebarea privind unde se termină autoritatea unui agent AI desfășurat și unde începe responsabilitatea nu a produs încă o politică.

Etichete: , , , , ,

Discuție

Există 0 comentarii.