Cibersegurança

Ransomware guiado por IA executou o ataque sozinho, mas não a extorsão

Adrian Kessler

O ransomware que acabou de virar manchete na segurança não foi guiado por um hacker monitorando um terminal. Um agente de IA conduziu de forma independente todas as etapas técnicas do ataque — mapeou o alvo, roubou credenciais, moveu-se entre sistemas e criptografou mais de mil registros de banco de dados. O que ele não conseguiu fazer foi montar sua própria infraestrutura de pagamento ou enviar a exigência de resgate.

A empresa de segurança em nuvem Sysdig documentou a invasão, batizando-a de JadePuffer. O agente obteve acesso por meio da CVE-2025-3248, uma falha de execução remota de código não autenticada no Langflow, um framework open-source usado para construir aplicações baseadas em IA. A partir dessa brecha, ele varreu o ambiente em busca de chaves de API, tokens de acesso à nuvem e credenciais de banco de dados, depois migrou para um servidor MySQL de produção e criptografou 1.342 itens de configuração armazenados no Nacos — um registro de serviços empresariais amplamente utilizado em pilhas de infraestrutura de origem chinesa.

O detalhe mais impressionante não é a abrangência do ataque, mas sua autocorreção. Quando uma tentativa de forjar credenciais de administrador falhou devido a um erro de configuração de caminho, o agente diagnosticou a causa raiz, escreveu um script de correção de 15 etapas e o executou em 31 segundos. Isso é rápido demais para um operador humano ter diagnosticado, programado e executado uma correção — o comportamento aponta para um raciocínio genuíno em tempo real, e não para playbooks pré-programados.

Nada disso significa que operações de ransomware estão prestes a funcionar sem pessoas. O ataque ainda exigiu que um humano configurasse o servidor de comando e controle, registrasse o endereço de contato para resgate no ProtonMail e montasse a infraestrutura antes da implantação do agente. A chave de criptografia gerada pelo JadePuffer nunca foi armazenada nem transmitida — o que significa que as vítimas não podem recuperar seus dados mesmo que paguem, uma falha que reflete projeto operacional ruim ou indiferença à negociação pós-ataque.

O que o JadePuffer realmente documenta é uma redução de custo, não uma transferência de controle. Cada etapa que antes exigia conhecimento especializado — movimentação lateral, escalonamento de privilégios, enumeração de banco de dados, correção de erros em tempo real — agora pode ser delegada a um agente. A conclusão da Sysdig é direta: o piso de habilidade para operações de ransomware caiu para o custo de rodar um modelo de linguagem.

O ataque mirou instalações do Langflow expostas à internet. Cerca de 7.000 instâncias vulneráveis foram reportadas quando a CVE do Langflow se tornou pública. Qualquer organização que execute Langflow, Nacos ou infraestrutura similar de LLM open-source sem correção em servidores voltados para a internet está na mesma janela de exposição. Isso não é um conselho novo; é a mesma orientação de postura que precede os agentes de IA. A diferença é que o operador que agora sonda esses serviços expostos roda automaticamente.

A vulnerabilidade do Langflow foi corrigida em abril de 2025. A Sysdig publicou indicadores de comprometimento completos, incluindo endereços IP do C2 e o endereço de contato para resgate. A CISA tem uma minuta de diretrizes sobre restrições a sistemas de IA agentivos prevista para ainda este ano — a questão de onde termina a autoridade de um agente de IA implantado e onde começa a responsabilização ainda não produziu política.

Tags: , , , , ,

Discussão

Há 0 comentários.