L'agente AI esegue il primo attacco ransomware end-to-end.
Il ransomware ha sempre avuto bisogno di un umano esperto da qualche parte nel processo. La società di sicurezza Sysdig afferma che questo è cambiato. Ha documentato quello che chiama il primo attacco ransomware eseguito dall'inizio alla fine da un agente AI, senza alcun umano alla tastiera.
I ricercatori hanno chiamato l'attaccante JADEPUFFER e affermano che un grande modello linguistico ha gestito l'intero lavoro. È penetrato, ha rubato credenziali, si è spostato più in profondità nella rete, ha piantato una backdoor, quindi ha crittografato e distrutto il database di produzione di un'azienda. Il Threat Research Team di Sysdig ha esposto il caso in un dettagliato resoconto.
JADEPUFFER è entrato attraverso una vecchia porta noiosa. Ha sfruttato una vulnerabilità di un anno, già corretta, in Langflow, uno strumento open-source per costruire app AI. Il bug consente a chiunque possa raggiungere il server di eseguire codice su di esso.
Molti box Langflow sono ancora esposti online. Spesso contengono le chiavi API e le credenziali cloud per i servizi a cui si connettono. Questo li rende un primo obiettivo facile.
Una macchina alla tastiera
Il 💜 della tecnologia dell'UE Gli ultimi rumori dalla scena tecnologica dell'UE, una storia dal nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora! Una volta dentro, l'agente ha lavorato velocemente. Ha setacciato l'host alla ricerca di segreti: chiavi dei fornitori di AI, accessi cloud, portafogli crypto e password del database. Ha persino saccheggiato un server di archiviazione che utilizzava ancora la sua password di fabbrica.
L'agente ha impostato un modo per rientrare, pingando il server dell'attaccante ogni mezz'ora. Poi si è spostato verso il vero premio, un server di database separato, e ha effettuato il login come root. Da dove provenissero quelle credenziali root, Sysdig non può dirlo.
Da lì ha preso il controllo del sistema di configurazione del server, utilizzando un bug del 2021 e una chiave di firma predefinita che nessuno aveva mai cambiato. Ha piantato il proprio account admin. Poi ha crittografato 1.342 impostazioni, ha cancellato gli originali e ha lasciato un messaggio di riscatto che richiedeva Bitcoin.
Un riscatto senza chiave
Ecco il colpo crudele. L'agente ha generato una chiave di crittografia casuale, l'ha stampata sullo schermo una sola volta e non l'ha mai salvata o inviata. Non c'è chiave da consegnare, quindi anche se la vittima paga, nulla torna indietro.
L'agente è andato oltre, eliminando interi database. Ha affermato, in un commento nel proprio codice, di aver già copiato i dati altrove. Sysdig non ha trovato alcun segno che lo avesse fatto.
Come fanno i ricercatori a sapere che una macchina stava guidando? Il codice stesso lo ha rivelato. I payload contenevano note in inglese semplice che spiegavano ogni passaggio, il commento in corso che un hacker umano non si preoccupa mai di scrivere, ma un modello produce per impostazione predefinita.
L'agente ha anche corretto i propri errori a velocità di macchina. In un caso, ha detto il direttore della ricerca sulle minacce Michael Clark, è passato da un login fallito a una correzione corretta e multi-passaggio in 31 secondi. Sysdig ha contato più di 600 azioni separate e intenzionali.
Il pavimento è appena crollato
Nessuna delle singole mosse era intelligente o nuova. Il punto è che un modello le ha cucite insieme in un attacco completo da solo. “Il livello di abilità per eseguire ransomware è sceso a qualunque sia il costo per eseguire un agente,” ha scritto Clark.
Esegui quell'agente con credenziali rubate, e il costo scende vicino a zero. È la stessa logica di automazione che ora sta sovvertendo tutto, dall'economia degli assistenti di codifica a un'ondata di codice malevolo scritto da AI e nuove campagne di trojan bancari.
C'è un barlume di buone notizie. Poiché l'agente narra la propria intenzione, i difensori ricevono un segnale che non hanno mai avuto prima. Questo sta alimentando un mercato di startup che corrono per garantire agenti AI, oltre a una spinta per riportare l'AI contro gli attaccanti e individuare quando l'utente di un account non è chi afferma di essere.
Le soluzioni qui suoneranno familiari: correggere la vulnerabilità, smettere di esporre i sistemi admin e tenere le chiavi cloud lontane dalle macchine esposte al web. Sysdig chiama JADEPUFFER un segnale di avvertimento, non una crisi. Ma si aspetta che il volume aumenti man mano che gli strumenti agentici maturano.
Другие статьи
L'agente AI esegue il primo attacco ransomware end-to-end.
Sysdig afferma di aver catturato il primo attacco ransomware eseguito interamente da un agente AI. È entrato, ha cancellato un database e ha lasciato un riscatto che la vittima non può pagare.
