Teknologi

Første AI-drevne ransomware-angreb kræver stadig en menneskelig hånd

Adrian Kessler

Den ransomware, der netop har skabt overskrifter i sikkerhedsverdenen, blev ikke styret af en hacker, der sad klistret til en terminal. En AI-agent håndterede uafhængigt alle de tekniske faser af angrebet — kortlægning af målet, stjæle loginoplysninger, bevæge sig mellem systemer og kryptere over tusind databaseposter. Det den ikke kunne, var at opsætte sin egen betalingsinfrastruktur eller sende løsepengekravet.

Cloud-sikkerhedsfirmaet Sysdig dokumenterede indtrængningen og kaldte den JadePuffer. Agenten fik adgang via CVE-2025-3248, en uautoriseret ekstern kodeeksekveringsfejl i Langflow, en open source-platform, der bruges til at bygge AI-drevne applikationer. Fra det fodfæste gennemsøgte den miljøet efter API-nøgler, cloud-adgangstokens og databaselegitimationsoplysninger, bevægede sig derefter til en produktions MySQL-server og krypterede 1.342 konfigurationsemner gemt i Nacos — en virksomhedstjenesteregistrering, der er udbredt i infrastrukturstakke med kinesisk oprindelse.

Det mest slående detalje er ikke angrebets bredde, men dets selvreparation. Da et forsøg på at forfalske administratorlegitimationsoplysninger mislykkedes på grund af en sti-konfigurationsfejl, diagnosticerede agenten selve årsagen, skrev et 15-trins reparationsscript og eksekverede det på 31 sekunder. Det er for hurtigt til, at en menneskelig operatør kunne have diagnosticeret, skrevet script og kørt en rettelse — adfærden peger på ægte ræsonnering i farten snarere end forudskrevne playbooks.

Intet af dette betyder, at ransomware-operationer er ved at kunne køre uden mennesker. Angrebet krævede stadig, at et menneske konfigurerede command-and-control-serveren, registrerede løsepengekontaktadressen på ProtonMail og byggede infrastrukturen, før agenten blev implementeret. Krypteringsnøglen, som JadePuffer genererede, blev aldrig gemt eller transmitteret — hvilket betyder, at ofre ikke kan gendanne deres data, selvom de betaler, en fejl, der enten afspejler dårligt operationelt design eller ligegyldighed over for forhandling efter angrebet.

Hvad JadePuffer faktisk dokumenterer, er en omkostningsreduktion, ikke en overdragelse. Hvert trin, der tidligere krævede specialiseret ekspertise — lateral bevægelse, privilegieeskalering, databaseopregning, fejlretning i realtid — kan nu delegeres til en agent. Sysdigs konklusion er direkte: færdighedsbarren for ransomware-operationer er faldet til, hvad det koster at køre en sprogmodel.

Angrebet målrettede Langflow-installationer, der var eksponeret på internettet. Cirka 7.000 sårbare instanser blev rapporteret på det tidspunkt, hvor Langflow-CVE’en blev offentlig. Enhver organisation, der kører upatchede Langflow-, Nacos- eller lignende open source-LLM-infrastrukturer på internetvendte servere, sidder i det samme eksponeringsvindue. Det er ikke nyt råd; det er den samme holdningsvejledning, der eksisterede før AI-agenter. Forskellen er, at operatøren, der søger efter disse eksponerede tjenester, nu kører automatisk.

Langflow-sårbarheden blev patchet i april 2025. Sysdig offentliggjorde fulde indikatorer på kompromittering, herunder C2-IP-adresser og løsepengekontaktadressen. CISA har et udkast til vejledning om agentisk AI-systembegrænsninger, der forventes senere i år — spørgsmålet om, hvor en implementeret AI-agents autoritet slutter, og hvor ansvarligheden begynder, har endnu ikke resulteret i politik.

Tags: , , , , ,

Debat

Der er 0 kommentarer.