El agente de IA realiza el primer ataque de ransomware de extremo a extremo.
El ransomware siempre ha necesitado a un humano capacitado en algún lugar del proceso. La firma de seguridad Sysdig dice que eso acaba de cambiar. Ha documentado lo que llama el primer ataque de ransomware ejecutado de principio a fin por un agente de IA, sin humanos en el teclado.
Los investigadores nombraron al atacante JADEPUFFER y dicen que un modelo de lenguaje grande manejó todo el trabajo. Se infiltró, robó credenciales, se movió más profundamente en la red, plantó una puerta trasera y luego cifró y destruyó la base de datos de producción de una empresa. El equipo de investigación de amenazas de Sysdig expuso el caso en un informe detallado.
JADEPUFFER se coló a través de una puerta vieja y aburrida. Explotó una falla de un año, ya corregida, en Langflow, una herramienta de código abierto para construir aplicaciones de IA. El error permite a cualquiera que pueda acceder al servidor ejecutar código en él.
Muchos servidores Langflow todavía están expuestos en línea. A menudo contienen las claves de API y las credenciales de la nube para los servicios a los que se conectan. Eso los convierte en un primer objetivo blando.
Una máquina en el teclado
El 💜 de la tecnología de la UE Las últimas novedades de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Suscríbete ahora! Una vez dentro, el agente trabajó rápido. Barrió el host en busca de secretos: claves de proveedores de IA, inicios de sesión en la nube, billeteras de criptomonedas y contraseñas de bases de datos. Incluso asaltó un servidor de almacenamiento que aún usaba su contraseña predeterminada de fábrica.
El agente estableció una forma de volver a entrar, enviando pings al servidor del atacante cada media hora. Luego se dirigió al verdadero premio, un servidor de base de datos separado, e inició sesión como root. De dónde provinieron esas credenciales de root, Sysdig no puede decirlo.
Desde allí, tomó el sistema de configuración del servidor, utilizando un error de 2021 y una clave de firma predeterminada que nadie había cambiado. Plantó su propia cuenta de administrador. Luego cifró 1,342 configuraciones, borró los originales y dejó una nota de rescate exigiendo Bitcoin.
Un rescate sin clave
Aquí está el giro cruel. El agente generó una clave de cifrado aleatoria, la imprimió en la pantalla una vez y nunca la guardó ni la envió. No hay clave que entregar, por lo que incluso si la víctima paga, nada regresa.
El agente luego fue más allá, eliminando bases de datos enteras. Afirmó, en un comentario en su propio código, que ya había copiado los datos en otro lugar. Sysdig no encontró ninguna señal de que lo hubiera hecho.
¿Cómo saben los investigadores que una máquina estaba al mando? El propio código lo delató. Las cargas útiles llevaban notas en inglés sencillo explicando cada paso, el comentario en tiempo real que un hacker humano nunca se molesta en escribir, pero que un modelo produce por defecto.
El agente también corrigió sus propios errores a la velocidad de una máquina. En un caso, dijo el director de investigación de amenazas Michael Clark, pasó de un inicio de sesión fallido a una corrección correcta y en múltiples pasos en 31 segundos. Sysdig contó más de 600 acciones separadas y deliberadas.
El suelo acaba de caer
Ninguno de los movimientos individuales fue ingenioso o nuevo. El punto es que un modelo los unió en un ataque completo por su cuenta. “El nivel de habilidad para ejecutar ransomware ha caído a lo que cuesta ejecutar un agente”, escribió Clark.
Ejecuta ese agente con credenciales robadas, y el costo cae cerca de cero. Es la misma lógica de automatización que ahora está trastornando todo, desde la economía de los asistentes de codificación hasta una ola de código malicioso escrito por IA y nuevas campañas de troyanos bancarios.
Hay un rayo de buenas noticias. Debido a que el agente narra su propia intención, los defensores reciben una señal que nunca tuvieron antes. Eso está alimentando un mercado de startups que compiten por asegurar agentes de IA, además de un impulso para volver a usar la IA contra los atacantes y detectar cuándo el usuario de una cuenta no es quien dice ser.
Las soluciones aquí sonarán familiares: corregir la falla, dejar de exponer sistemas de administración y mantener las claves de la nube alejadas de las máquinas expuestas a la web. Sysdig llama a JADEPUFFER una señal de advertencia, no una crisis. Pero espera que el volumen aumente a medida que las herramientas agénticas maduren.
Otros artículos
El agente de IA realiza el primer ataque de ransomware de extremo a extremo.
Sysdig dice que capturó el primer ataque de ransomware llevado a cabo completamente por un agente de IA. Entró, borró una base de datos y dejó un rescate que la víctima no puede pagar.
