Pesquisadores da empresa de segurança em nuvem Sysdig relataram a ocorrência do que é considerado o primeiro caso conhecido de "ransomware agentic". A operação de extorsão, chamada JadePuffer, teve um agente de IA responsável pela execução técnica de um ciberataque do início ao fim, invadindo um servidor vulnerável, roubando credenciais, navegando pela rede-alvo, criptografando arquivos e até redigindo sua própria nota de resgate, adaptando-se a obstáculos de forma similar a um hacker humano.
Apesar da cobertura da mídia que indicou que o ataque foi realizado "sem supervisão humana" e "sem ninguém no teclado", o diretor sênior de pesquisa de ameaças da Sysdig, Michael Clark, esclareceu em entrevista ao CyberScoop que um humano ainda teve um papel crucial, embora não na execução técnica do ataque. Clark afirmou: "Um humano ainda configurou e direcionou a operação, provisionou a infraestrutura por trás dela, o servidor de comando e controle, o servidor de estágio usado para os dados roubados e escolheu a vítima". Além disso, as credenciais utilizadas para acessar o banco de dados da vítima não foram obtidas pela IA, mas sim adquiridas previamente por alguém em uma invasão anterior.
Detalhes técnicos do ataque
Ainda que a intervenção humana tenha sido necessária, as especificidades técnicas do ataque permanecem impressionantes. O agente de IA explorou uma falha conhecida no Langflow, uma ferramenta popular de código aberto para construção de aplicativos LLM, e avançou para um servidor MySQL de produção, utilizando outra vulnerabilidade para obter acesso administrativo. O ataque resultou na criptografia de mais de 1.300 registros de configuração e na criação de uma nota de resgate, que incluía um endereço de Bitcoin para o pagamento.
Uma característica notável do ataque foi a velocidade e a transparência do agente, que corrigiu uma falha de login em apenas 31 segundos, documentando sua lógica em comentários de código em linguagem natural ao longo do processo.
Implicações e previsões futuras
Clark também abordou a questão das múltiplas ferramentas citadas, como chaves da OpenAI, Anthropic, DeepSeek e Gemini, que foram roubadas durante o ataque. Ele explicou que essas chaves eram parte do que o agente considerava valioso, mas não indicam qual modelo estava sendo utilizado para tomar decisões. Sysdig não conseguiu identificar o modelo específico que estava por trás do JadePuffer e não tem visibilidade sobre o prompt ou configuração do sistema utilizado.
Na visão do pesquisador da Microsoft, Geoff McDonald, a situação pode ser ainda mais complexa. Ele sugeriu que um modelo de código aberto com treinamento de segurança removido poderia ter sido o responsável pelo ataque, baseando-se em experiências anteriores que mostraram que as camadas de segurança de modelos avançados se mantêm eficazes. McDonald alertou que as campanhas de ransomware agora são limitadas principalmente pelo orçamento dos atacantes, o que poderia permitir “milhares ou dezenas de milhares de campanhas simultâneas”. Contudo, essa possibilidade é dificultada pelo fato de que um humano ainda precisa escolher cada vítima e obter credenciais para cada operação, o que cria um gargalo.
Embora a Sysdig ainda não tenha visto a mesma operação atingir outras vítimas, Clark expressou expectativa de que isso mude, dado o baixo custo para operar um agente de IA.
Comentários (0)
Entre ou cadastre-se para comentar.