🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨

Leia, comente e fique sempre atualizado!

Apoie esse projeto de divulgacao de noticias! Clique aqui
A empresa de segurança Sysdig diz ter encontrado o que acredita ser o primeiro ataque de ransomware executado do início ao fim por um agente de IA.

Sua equipe de pesquisa de ameaças liga para a operadora JADEPUFFER e diz que um grande modelo de linguagem cuida de todo o trabalho: invasão, roubo de credenciais, penetração mais profunda na rede e, em seguida, criptografia e limpeza do banco de dados de produção de uma empresa.

O ransomware sempre precisou de uma pessoa qualificada em algum lugar do circuito, seja no teclado ou escrevendo o script que o malware segue. Se um modelo puder encadear essas etapas por conta própria, a habilidade necessária para executar um ataque cairá para o custo de alugar um agente de IA.

A entrada foi um bug antigo e já corrigido. JADEPUFFER explorou CVE-2025-3248, uma falha de autenticação ausente em Langflow, uma ferramenta de código aberto para criar aplicativos de IA e fluxos de trabalho de agentes. A falha permite que qualquer pessoa que consiga acessar o servidor execute seu próprio código Python nele, sem necessidade de login.

As caixas Langflow são um alvo tentador porque muitas vezes ficam expostas na Internet e contêm chaves de API e credenciais de nuvem para os serviços aos quais se conectam.

A falha foi corrigida no Langflow 1.3.0 e adicionada à lista de vulnerabilidades exploradas conhecidas da CISA em maio de 2025, mas muitos servidores nunca foram atualizados. Esse não é o único bug do Langflow atingido dessa forma.

Uma vez lá dentro, o agente trabalhou rápido e se limpou. Ele mapeou a máquina e, em seguida, procurou segredos: chaves de API para serviços de IA (OpenAI, Anthropic, DeepSeek, Gemini), credenciais de nuvem (provedores chineses como Alibaba e Tencent junto com AWS, Google e Azure), chaves de carteira criptografada e logins de banco de dados.

Ele invadiu um servidor de armazenamento MinIO usando seu login padrão de fábrica (minioadmin:minioadmin), que nunca havia sido alterado. Ele também configurou um caminho de volta, adicionando uma tarefa agendada que fazia ping no servidor do invasor a cada 30 minutos.

Em seguida, ele se voltou para seu objetivo real: um servidor separado voltado para a Internet executando um banco de dados MySQL e o Nacos do Alibaba, um diretório de configurações e serviços comum em configurações de microsserviços. O agente efetuou login no banco de dados como root.

A Sysdig diz que nunca viu de onde vieram essas credenciais de root, portanto sua origem é desconhecida. A partir daí, ele assumiu o controle do Nacos usando um bypass de autenticação 2021 (CVE-2021-29441) e uma chave de assinatura padrão que o Nacos enviou inalterada desde 2020, depois plantou sua própria conta de administrador.

A nota de resgate sem chave

O agente criptografou todas as 1.342 configurações do Nacos, descartou as tabelas originais e deixou uma nota de resgate exigindo Bitcoin com um contato do Proton Mail. Ele gerou uma chave de criptografia aleatória, imprimiu-a na tela uma vez e nunca a salvou ou enviou para lugar nenhum.

Não há chave para entregar. A vítima não pode recuperar os dados, mesmo que pague. (A nota afirma AES-256; Sysdig observa que a ferramenta usada tem como padrão o AES-128 mais fraco, embora o resultado seja o mesmo.)

Em seguida, foi além, excluindo bancos de dados inteiros e deixando um comentário em seu próprio código, alegando que já havia copiado os dados em outro lugar.

Sysdig diz que é o agente que está falando, não algo que a equipe possa confirmar, e não encontrou nenhuma evidência de que quaisquer dados tenham sido realmente deixados.

Como os especialistas sabem que uma IA estava dirigindo

O sinal mais claro era o próprio código. As cargas de ataque estavam cheias de notas em inglês explicando por que cada passo estava sendo dado, o comentário contínuo que um hacker humano nunca se preocupa em escrever, mas um modelo produz por padrão. O agente também corrigiu seus próprios erros na velocidade da máquina.

Em um caso, passou de uma falha no login para uma correção correta em várias etapas em 31 segundos, diagnosticando a causa exata em vez de tentar novamente às cegas. A Sysdig contou mais de 600 cargas separadas e intencionais em toda a operação.

Um detalhe ainda é um quebra-cabeça. O endereço Bitcoin na nota de resgate é o endereço de amostra exato que aparece em toda a documentação do desenvolvedor do Bitcoin, o que significa que aparece em todo o texto no qual esses modelos são treinados. É também uma carteira real e ativa com um longo histórico de pagamentos.

A Sysdig não consegue dizer se o modelo simplesmente colou um endereço de aparência familiar da memória ou se a operadora usou deliberadamente uma carteira real que corresponde ao famoso exemplo.

Parte de uma mudança maior

JADEPUFFER é o último passo em um ano em rápida evolução para ataques conduzidos por IA. Em agosto de 2025, pesquisadores da ESET sinalizaram o PromptLock, anunciado como o primeiro ransomware baseado em IA; mais tarde, descobriu-se que era um protótipo de laboratório da NYU chamado Ransomware 3.0, e não um ataque real.

Na mesma época, a Anthropic relatou uma verdadeira campanha de extorsão que usou sua ferramenta Claude Code para atingir pelo menos 17 organizações, com demandas de mais de US$ 500.000, embora um humano ainda a dirigisse.

Em novembro de 2025, a Anthropic divulgou o que chamou de primeiro ataque cibernético amplamente autônomo, um esforço de espionagem ligado ao Estado chinês que fez com que Claude escrevesse explorações e roubasse dados com pouca ajuda humana. O
Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #agente #de #ia #explora #langflow #rce #para #automatizar #ataque #de #ransomware #de #banco #de #dados
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡

Post a Comment