Sysdig, dos EUA, revela ransomware com IA que automatiza ataques
2026-07-07 15:32
Favoritos

De acordo com pt.wedoany.com-A empresa de segurança Sysdig divulgou recentemente um caso de ataque de ransomware totalmente impulsionado por agentes de IA, onde os atacantes utilizaram a tecnologia para automatizar ataques a dispositivos expostos a vulnerabilidades críticas. O ransomware utilizado neste ataque, denominado "JADEPUFFER", invadiu servidores de banco de dados através da vulnerabilidade CVE-2025-3248, descoberta no ano passado no framework de código aberto Langflow.

O JADEPUFFER tem como alvo dispositivos expostos à vulnerabilidade CVE-2025-3248. Esta falha permite que atacantes executem código remotamente, e o risco é maior porque os servidores Langflow geralmente estão conectados à internet e possuem chaves de API ou credenciais de nuvem necessárias para desenvolver aplicações de IA. Langflow é um framework de código aberto para desenvolvimento de aplicações de grandes modelos de linguagem, oferecendo um ambiente conveniente para usuários menos experientes criarem aplicações.

Após a divulgação pública da vulnerabilidade, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) a incluiu na lista de "vulnerabilidades conhecidas e exploradas" e instou à correção. Apesar disso, casos de exploração da falha continuam a surgir, tendo sido utilizada em julho do ano passado para distribuir malware de botnet. Após uma invasão bem-sucedida do JADEPUFFER, ele identifica a estrutura do sistema, coleta chaves de API de vários serviços de IA e credenciais de nuvem da Amazon Web Services (AWS) e Azure. Em seguida, o ataque se volta para bancos de dados MySQL e a plataforma nativa em nuvem "Nacos" da Alibaba Cloud. Após obter acesso de administrador ao banco de dados, o atacante criptografa todos os valores de configuração e deixa uma mensagem de resgate.

Durante a investigação, a Sysdig encontrou evidências de que o JADEPUFFER era operado por IA. O processo de ataque incluía uma grande quantidade de comentários em linguagem natural explicando a razão de cada operação. A Sysdig apontou que humanos não adicionariam explicações detalhadas a códigos descartáveis, mas LLMs fazem isso durante a geração de código. Além disso, a velocidade de modificação do código também chamou a atenção: mesmo quando ocorriam erros, levava apenas 31 segundos para modificar o código e estabelecer conexão com sucesso, com 15 linhas de código relacionadas, e um padrão semelhante se repetia ao longo de toda a sessão. A Sysdig enfatizou que o tempo necessário para um humano ler a mensagem de erro, analisar a causa e modificar o código excede 31 segundos.

Este ataque demonstra que o ransomware não está mais restrito a técnicos habilidosos. No passado, os atacantes precisavam realizar pessoalmente todo o processo de criação do ransomware, exploração de vulnerabilidades e extorsão. Embora as organizações de Ransomware como Serviço (RaaS) tenham reduzido a barreira de entrada através da dark web, a intervenção humana ainda existia. O JADEPUFFER conseguiu automatizar o processo de ataque com agentes de IA, e a Sysdig prevê que ataques semelhantes surgirão em sequência.

A Sysdig recomenda que, para evitar tais ataques, o Langflow seja atualizado para a versão que corrige a CVE-2025-3248 e que os endpoints de execução de código não sejam expostos à internet. Também é aconselhado não executar servidores de controle de IA com chaves de API ou credenciais de nuvem.

Este tipo de ransomware baseado em IA ainda está em estágio inicial. Embora alguns casos semelhantes já tenham sido confirmados, eles ainda não atingiram o nível de automação do JADEPUFFER. O uso de IA é mais ativo nas fases iniciais do ataque, como em e-mails de phishing ou na detecção de vulnerabilidades. Kim Jun-young, líder da equipe Everyzone, afirmou que alguns estudos sobre casos de ataques automatizados por IA foram confirmados, mas não são proeminentes; no entanto, o uso de IA é mais significativo em trabalhos de invasão inicial, como a criação de e-mails de phishing bem elaborados ou o roubo de credenciais. Ele acrescentou que a vigilância do usuário é primordial, mas bloquear completamente os ataques é difícil; o foco deve estar na recuperação rápida, construindo um sistema de defesa em múltiplas camadas, desde antiransomware até backup de dados, para lidar com ransomware.

 

Este boletim é uma compilação e reprodução de informações de parceiros estratégicos e da internet global, destinado apenas para troca de informações entre leitores. Em caso de infração ou outros problemas, por favor, informe-nos imediatamente, e este site fará as devidas modificações ou exclusões. A reprodução deste artigo é estritamente proibida sem autorização formal. E-mail: news@wedoany.com