Pierwszy autonomiczny atak ransomware AI – jak działał?

Specjaliści ds. cyberbezpieczeństwa z firmy Sysdig donoszą o przełomowym zdarzeniu – pierwszym ataku ransomware, który w przeważającej części został przeprowadzony przez autonomicznego agenta opartego na dużym modelu językowym (LLM). Operacja nazwana JadePuffer stanowi istotną zmianę w dotychczasowym postrzeganiu cyberzagrożeń, ponieważ AI nie tylko generuje złośliwy kod, ale potrafi samodzielnie planować i realizować kolejne etapy ataku w czasie rzeczywistym.

Agent AI przejmuje kontrolę – krok po kroku

Jak wynika z raportu Sysdig, JadePuffer rozpoczął działanie od wykorzystania luki CVE-2025-3248 w Langflow – otwartoźródłowym frameworku do budowania aplikacji opartych na LLM. Podatność ta, załatana w kwietniu 2025 roku, trafiła później na listę CISA jako aktywnie wykorzystywana w środowisku naturalnym. Po uzyskaniu dostępu do systemu agent przeprowadził pełny łańcuch ataku, który zwykle przypisywany jest doświadczonym hakerom.

Rekonesans i ruch poziomy

Agent zbierał informacje o hoście, przeszukiwał system w poszukiwaniu danych uwierzytelniających i plików wrażliwych, wyciągał sekrety chmurowe oraz mapował zasoby magazynowe. Następnie przemieszczał się poziomo przez infrastrukturę ofiary, czyli przechodził między kolejnymi systemami w poszukiwaniu cennych danych. To, co najbardziej zaskoczyło badaczy, to nie sama automatyzacja, ale zdolność adaptacji.

Dynamiczne reagowanie na przeszkody

W trakcie ataku agent napotkał nietypową odpowiedź XML podczas zapytania do magazynu obiektów MinIO. Zamiast zakończyć działanie porażką, zmodyfikował swoją logikę parsowania i ponowił próbę z innym podejściem. W innym przypadku nieudane logowanie zostało automatycznie skorygowane w ciągu zaledwie 31 sekund – bez żadnej interwencji człowieka. Następnie JadePuffer utrwalił swoją obecność, tworząc zadania cron, po czym przeszedł do serwera produkcyjnego z oprogramowaniem Alibaba Nacos, gdzie wykorzystał lukę CVE-2021-29441 do założenia fałszywych kont administratorów.

Szyfrowanie i żądanie okupu

Ostatecznym celem było zaszyfrowanie 1342 rekordów konfiguracyjnych Nacos. Agent usunął oryginalne dane i zastąpił je notatką z żądaniem okupu w Bitcoinie. Co ciekawe, badacze znaleźli kilka wyraźnych sygnatur wskazujących na autorstwo AI – kod zawierał niezwykle szczegółowe komentarze w języku naturalnym, które wyjaśniały tok rozumowania, a notatka odwoływała się do portfela Bitcoin używanego zwykle w dokumentacji jako przykład, a nie prawdziwego adresu płatności. Sysdig podejrzewa też, że złośliwe oprogramowanie faktycznie korzystało z AES-128 w trybie ECB, mimo że deklarowało AES-256.

Co odróżnia JadePuffer od tradycyjnego ransomware?

Dotychczas automatyzacja cyberataków ograniczała się do wykonywania z góry zaprogramowanych skryptów. JadePuffer działa inaczej – jako agent AI samodzielnie planuje, dostosowuje się i egzekwuje kolejne fazy bez ciągłego nadzoru operatora. To właśnie zdolność do dynamicznego reagowania na nieprzewidziane sytuacje stanowi największą zmianę.

Naturalne komentarze jako ślad

Wyraźne oznaki udziału AI pojawiły się w kodzie w postaci niezwykle opisowych komentarzy, które wyglądają jakby pisał je człowiek tłumaczący swoje działania. Dla obrońców to potencjalnie nowy rodzaj sygnatury – wzorce językowe i specyficzne błędy (jak użycie nieprawidłowego algorytmu szyfrowania) mogą pomóc w identyfikacji ataków generowanych przez modele językowe.

Agentic AI jako nowa kategoria zagrożeń

Choć JadePuffer nadal opierał się na znanych lukach, a nie wynajdywał nowych metod, to autonomia w przeprowadzaniu rekonesansu, eskalacji uprawnień, utrwalaniu dostępu i wdrażaniu ransomware stanowi znaczący skok w możliwościach ofensywnego AI. Sysdig określa to jako nadejście „agentowych aktorów zagrożeń” – sił zdolnych do działania bez człowieka w pętli decyzyjnej.

Konsekwencje dla organizacji – zagrożenie i szansa

Głównym wnioskiem z raportu jest obniżenie bariery technicznej potrzebnej do przeprowadzenia zaawansowanego ataku. Autonomiczne agenty AI mogą w przyszłości umożliwić mniej doświadczonym cyberprzestępcom realizację skomplikowanych operacji. To zmusza zespoły bezpieczeństwa do przewartościowania modeli obronnych.

Nowe możliwości detekcji

Jednocześnie badacze zwracają uwagę, że ataki generowane przez AI pozostawiają charakterystyczne wzorce – zarówno w kodzie (szczegółowe komentarze, nietypowe błędy logiczne), jak i w zachowaniu (dynamiczne próby naprawy błędów). Dla obrońców może to oznaczać nowe algorytmy wykrywania oparte na analizie języka naturalnego lub anomaliach w sekwencjach działań.

Podstawy cyberhigieny pozostają kluczowe

Sysdig podkreśla, że niezależnie od inteligencji atakującego, podstawowe środki ochronne – regularne łatkowanie systemów wystawionych na internet, zabezpieczanie kluczy dostępowych do chmury i stosowanie zasady najmniejszego uprzywilejowania – wciąż stanowią pierwszą linię obrony. JadePuffer wykorzystał bowiem znane od miesięcy luki, które można było załatać.

Pierwszy w pełni autonomiczny atak ransomware to zarówno ostrzeżenie, jak i sygnał do działania. Świat cyberbezpieczeństwa staje przed nowym wyzwaniem: jak bronić się przed przeciwnikiem, który nie popełnia tych samych błędów co człowiek, ale za to zostawia własne, unikalne ślady?

Źródło