Μια σημαντική ανακάλυψη στον κόσμο της κυβερνοασφάλειας έρχεται στο προσκήνιο, καθώς ερευνητές αποκάλυψαν την πρώτη τεκμηριωμένη περίπτωση ransomware που καθοδηγείται αποκλειστικά από τεχνητή νοημοσύνη. Ονομάζεται JadePuffer και θεωρείται ότι εκτέλεσε μια πολυδιάστατη επίθεση με τη βοήθεια ενός αυτόνομου πράκτορα, ο οποίος χρησιμοποιεί μεγάλα γλωσσικά μοντέλα (LLMs) για την εκτέλεση σύνθετων διαδικασιών παραβίασης.
Η Sysdig, μια γνωστή εταιρεία στον τομέα της ασφάλειας του cloud, ανέφερε ότι ο JadePuffer δεν αρκέστηκε σε απλές επιθέσεις. Αντίθετα, ο πράκτορας AI του προσαρμόστηκε δυναμικά κατά τη διάρκεια της διαδικασίας, επιδεικνύοντας τέτοιες ικανότητες που, μέχρι τώρα, ούτε καν οι πιο έμπειροι κυβερνοεγκληματίες μπορούν να επιτύχουν.
Κάθε βήμα της επίθεσης, όπως η κλοπή διαπιστευτηρίων ή η κρυπτογράφηση των δεδομένων του δικτύου, έγινε με προσφυγή σε τεχνικές που θα χαρακτήριζαν έναν ανθρώπινο χειριστή. Όπως εξηγεί η Sysdig, “Η διαδικασία προσαρμόστηκε σε πραγματικό χρόνο, αντιμετωπίζοντας τις αποτυχίες μέσω βελτιωμένων παραμέτρων.” Μια εντυπωσιακή διαδρομή από μια αποτυχημένη σύνδεση σε επιτυχία που πραγματοποιήθηκε σε μόλις 31 δευτερόλεπτα.
Από την αρχική πρόσβαση στην κρυπτογράφηση
Η αρχική επιτυχία της επίθεσης προήλθε από την εκμετάλλευση του CVE-2025-3248, μιας κρίσιμης ευπάθειας στο Langflow, ένα δημοφιλές και ανοιχτού κώδικα πλαίσιο. Μετά την διόρθωση του σφάλματος, που πραγματοποιήθηκε τον Απρίλιο του 2025, η CISA επισήμανε ότι η συγκεκριμένη ευπάθεια ήταν στόχος επιθέσεων κατά συστημάτων εκτεθειμένων στο διαδίκτυο.
Με την πρόσβαση που απέκτησε, ο πράκτορας AI του JadePuffer ξεκίνησε να ανακτά δεδομένα, πρόσβαση σε διαπιστευτήρια και να εγκαθιστά επιπλέον εργαλεία ελέγχου του περιβάλλοντος. Όπως αποκαλύπτεται, ο πράκτορας μπόρεσε να απαριθμήσει το αποθηκευτικό χώρο MinIO και να προσαρμόσει τον προγραμματισμό της επιμονής του μέσω εργασιών cron.
Επίσης, παρατηρήθηκε ότι ο εισβολέας επιχείρησε να αποκτήσει πρόσβαση σε έναν διακομιστή παραγωγής που εκτελούσε το Alibaba Nacos, χρησιμοποιώντας ανεκτέλεστα διαπιστευτήρια προερχόμενα από την παραβίαση του Langflow.
Ο JadePuffer συνέχισε με την κρυπτογράφηση 1.342 στοιχείων της υπηρεσίας Nacos, χρησιμοποιώντας κωδικοποίηση AES_ENCRYPT() της MySQL, προτού δημιουργήσει ένα README_RANSOM για την εκβίαση του θύματος.

Πηγή: Sysdig
Μάλιστα, το σημείωμα του λούτρων έδινε λεπτομέρειες για τον αλγόριθμο που χρησιμοποιήθηκε, επισημαίνοντας την κρυπτογράφηση με AES-256, αν και οι ειδικοί θεωρούν ότι η υποκλοπή μάλλον χρησιμοποιεί τον πιο ευάλωτο AES-128-ECB.
Επιπλέον, αξίζει να σημειωθεί ότι το κλειδί κρυπτογράφησης δημιουργείται τυχαία και δεν σώζεται ή αποστέλλεται στον εισβολέα. Η διεύθυνση Bitcoin που αναφέρεται από τον JadePuffer είναι μια κοινοποιημένη διεύθυνση, πιθανώς αποτέλεσμα αναπαραγωγής από δεδομένα εκπαίδευσης.
Η λεπτομερής καταγραφή των διαδικασιών και η ταχεία επανάληψη βασισμένη σε σφάλματα δείχνει τη δραστηριοποίηση της τεχνητής νοημοσύνης εντός της επιχείρησης, με τις οδηγίες να περιγράφουν σαφώς τη λογική πίσω από τις επιθέσεις. Το γεγονός αυτό πιστοποιεί ότι η εποχή των “πρακτόρων απειλών” (ATAs) έφτασε, δηλώνοντας σειρά προκλήσεων για την κυβερνοασφάλεια.
Όμως, η εξάρτηση από την AI, μπορεί επίσης να δημιουργήσει και νέες ευκαιρίες ανίχνευσης για ασφαλιστικές λύσεις.
Οι ομάδες ασφαλείας καταγράφουν το 54% των επιτυχημένων επιθέσεων και ειδοποιούν μόλις το 14%. Τα υπόλοιπα κινδυνεύουν στο περιβάλλον σας αόρατα.
Η λευκή βίβλος Picus δείχνει πώς η προσομοίωση παραβίασης και επίθεσης δοκιμάζει τους κανόνες SIEM και EDR σας, ώστε οι απειλές να σταματήσουν να ξεφεύγουν από τον εντοπισμό.



