Teknologi

Første AI-drevne ransomware-angrep klarte seg ikke uten menneskelig hjelp

Adrian Kessler

Ransomwaren som nettopp skapte sikkerhetsoverskrifter, ble ikke styrt av en hacker som overvåket en terminal. En AI-agent håndterte alle de tekniske fasene av angrepet uavhengig – kartla målet, stjal påloggingsinformasjon, beveget seg mellom systemer, og krypterte over tusen databaseregistreringer. Det den ikke kunne gjøre, var å sette opp sin egen betalingsinfrastruktur eller sende løsepengekravet.

Nettsikkerhetsselskapet Sysdig dokumenterte inntrengningen og kalte den JadePuffer. Agenten fikk tilgang gjennom CVE-2025-3248, en uautentisert sårbarhet for ekstern kjøring av kode i Langflow, et åpen kildekode-rammeverk som brukes til å bygge AI-drevne applikasjoner. Fra det fotfestet gjennomsøkte den miljøet etter API-nøkler, skytilgangstokener og databaselegitimasjon, før den beveget seg til en produksjons-MySQL-server og krypterte 1 342 konfigurasjonselementer lagret i Nacos – et bedriftsregister for tjenester som er mye brukt i infrastrukturstabler med kinesisk opprinnelse.

Det mest slående detaljen er ikke angrepets omfang, men dets selvkorrigering. Da et forsøk på å forfalske administratorlegitimasjon mislyktes på grunn av en stikonfigurasjonsfeil, diagnostiserte agenten rotårsaken, skrev et 15-trinns reparasjonsskript og utførte det på 31 sekunder. Det er for raskt for at en menneskelig operatør kunne ha diagnostisert, skriptet og kjørt en løsning – oppførselen peker på genuin resonnering i farten, snarere enn forhåndsskrevne spillebøker.

Ingenting av dette betyr at ransomware-operasjoner er i ferd med å kjøres uten mennesker. Angrepet krevde fortsatt at et menneske konfigurerte kommando-og-kontroll-serveren, registrerte løsepengekontaktadressen på ProtonMail, og bygde infrastrukturen før agenten ble utplassert. Krypteringsnøkkelen JadePuffer genererte ble aldri lagret eller overført – noe som betyr at ofre ikke kan gjenopprette dataene sine selv om de betaler, en feil som enten gjenspeiler dårlig operasjonell design eller likegyldighet til forhandlinger etter angrepet.

Det JadePuffer faktisk dokumenterer, er en kostnadsreduksjon, ikke en overlevering. Hvert trinn som tidligere krevde spesialisert ekspertise – lateral bevegelse, privilegieeskalering, databasekartlegging, feilretting i sanntid – kan nå delegeres til en agent. Sysdigs konklusjon er direkte: ferdighetsnivået for ransomware-operasjoner har falt til hva det enn koster å kjøre en språkmodell.

Angrepet målrettet Langflow-installasjoner som var eksponert mot internett. Omtrent 7 000 sårbare instanser ble rapportert på det tidspunktet Langflow CVE-en ble offentlig. Enhver organisasjon som kjører uoppdatert Langflow, Nacos eller lignende åpen kildekode-LLM-infrastruktur på internettvendte servere, befinner seg i det samme eksponeringsvinduet. Dette er ikke nye råd; det er den samme posisjoneringsveiledningen som eksisterte før AI-agenter. Forskjellen er at operatøren som leter etter disse eksponerte tjenestene, nå kjører automatisk.

Langflow-sårbarheten ble lappet i april 2025. Sysdig publiserte fulle indikatorer på kompromittering, inkludert C2-IP-adresser og løsepengekontaktadressen. CISA har utkast til veiledning om begrensninger for agentisk AI-systemer forventet senere i år – spørsmålet om hvor en utplassert AI-agents autoritet slutter, og hvor ansvarlighet begynner, har ennå ikke produsert politikk.

Tagger: , , , , ,

Diskusjon

Det er 0 kommentarer.