Ransomware софтуерът винаги е изисквал човек пред клавиатурата или такъв, който да напише скрипта зад него. Това предположение вече не е в сила.

Изследователи от Sysdig са документирали това, което изглежда е първата напълно автономна операция с ransomware, управлявана изцяло от AI агент, а не от човек.

Заплахата е наречена JADEPUFFER и представлява нова категория атакуващ, известен като "агентски субект на заплаха" (agentic threat actor).

Вместо фиксиран набор от инструменти, написан от човек, атакуващата способност идва от голям езиков модел (LLM), който сам планира, адаптира и изпълнява всяка стъпка.

От Sysdig съобщават, че са идентифицирали кампанията, след като са прихванали използваните полезни товари при проникването. Техните констатации описват операция, преминала от първоначален достъп до пълно унищожаване на базата данни с почти никаква човешка намеса.

Атаката е започнала срещу достъпна в интернет инстанция на Langflow – рамка с отворен код за изграждане на работни процеси с AI агенти. Достъпът е получен чрез уязвимост, проследявана като CVE-2025-3248, представляваща липса на удостоверяване на автентичността в крайната точка за валидиране на код на Langflow.

Тази уязвимост позволява на атакуващия да изпълнява произволен Python код без изобщо да се вписва. Веднъж влязъл, JADEPUFFER бързо разширява обхвата си чрез кодирани в Base64 полезни товари.

Агентът е картографирал хоста, проверявал е самоличността на потребителите, мрежовите интерфейси и стартираните процеси, след което е започнал търсене на съхранени тайни. Търсенето е обхванало API ключове за OpenAI, Anthropic, DeepSeek и Gemini, облачни идентификационни данни за AWS, Azure и китайски доставчици, както и криптовалутни портфейли.

След това JADEPUFFER е сканирал вътрешната мрежа, открил е MinIO инстанция с фабрични настройки за достъп, извлякъл е конфигурационни данни и е заложил планирана задача за поддържане на постоянен достъп. Крайната цел е била сървър с база данни MySQL и Nacos, където след неуспешен първи опит за създаване на администраторски акаунт, агентът сам е коригирал скрипта си в рамките на 30 секунди – ясен знак за липса на човешка намеса в реално време.

Накрая агентът е шифровал над хиляда конфигурационни записа, изтрил е оригиналните таблици и е оставил бележка с искане за откуп в Bitcoin, като ключът за декриптиране е бил генериран на случаен принцип и изтрит, което прави възстановяването на данните невъзможно.