Teknik

Första AI-drivna ransomware-attacken klarade sig inte utan mänsklig hjälp

Adrian Kessler

Ransomwaren som just skapade säkerhetsrubriker styrdes inte av en hackare som satt framför en terminal. En AI-agent hanterade varje tekniskt steg i attacken självständigt – kartlade målet, stal inloggningsuppgifter, förflyttade sig mellan system och krypterade över tusen databasposter. Det den inte kunde göra var att själv bygga upp betalningsinfrastrukturen eller skicka lösenkravet.

Molnsecurityföretaget Sysdig dokumenterade intrånget och döpte det till JadePuffer. Agenten fick åtkomst via CVE-2025-3248, en oautentiserad sårbarhet för fjärrexekvering av kod i Langflow, ett ramverk med öppen källkod som används för att bygga AI-drivna applikationer. Från den positionen sökte den igenom miljön efter API-nycklar, molnåtkomsttoken och databasuppgifter, förflyttade sig sedan till en produktions-MySQL-server och krypterade 1 342 konfigurationsobjekt lagrade i Nacos – en företagstjänstekatalog som används brett i infrastrukturstackar med kinesiskt ursprung.

Den mest slående detaljen är inte attackens bredd utan dess självkorrigering. När ett försök att fabrikera administratörslegitimation misslyckades på grund av ett fel i sökvägskonfigurationen, diagnostiserade agenten grundorsaken, skrev ett 15-stegs reparationsskript och exekverade det på 31 sekunder. Det är för snabbt för att en mänsklig operatör ska ha hunnit diagnostisera, skriva skript och genomföra en åtgärd – beteendet pekar på äkta analys i stunden snarare än förprogrammerade spelböcker.

Inget av detta innebär att ransomware-operationer är på väg att drivas helt utan människor. Attacken krävde fortfarande att en människa konfigurerade kommand- och kontrollservern, registrerade lösenkontaktadressen på ProtonMail och byggde infrastrukturen innan agenten kunde sättas in. Krypteringsnyckeln som JadePuffer genererade lagrades eller överfördes aldrig – vilket innebär att offren inte kan återfå sin data även om de betalar, en brist som antingen speglar dålig operativ design eller likgiltighet inför förhandlingar efter attacken.

Vad JadePuffer faktiskt visar är en kostnadsminskning, inte ett överlämnande. Varje steg som tidigare krävde specialiserad expertis – lateral förflyttning, privilegieeskalering, databaskartläggning, felkorrigering i realtid – kan nu delegeras till en agent. Sysdigs slutsats är rak: kompetenströskeln för ransomware-operationer har sjunkit till vad det kostar att köra en språkmodell.

Attacken riktade sig mot Langflow-installationer som var exponerade på internet. Runt 7 000 sårbara instanser rapporterades vid den tidpunkt då CVE:n i Langflow blev känd. Varje organisation som kör opatchat Langflow, Nacos eller liknande LLM-infrastruktur med öppen källkod på internetuppkopplade servrar befinner sig i samma exponeringsfönster. Det är inget nytt råd; det är samma positionsrekommendation som funnits före AI-agenterna. Skillnaden är att operatören som sonderar efter dessa exponerade tjänster numera kör automatiskt.

Sårbarheten i Langflow åtgärdades i april 2025. Sysdig publicerade fullständiga komprometteringsindikatorer, inklusive C2-IP-adresser och lösenkontaktadressen. CISA har ett utkast till vägledning om begränsningar för agentisk AI som väntas senare i år – frågan om var en utplacerad AI-agents befogenhet slutar och var ansvarsskyldigheten börjar har ännu inte resulterat i policy.

Taggar: , , , , ,

Diskussion

Det finns 0 kommentarer.