На прошлой неделе исследователи облачной безопасности из Sysdig сообщили о первом документированном случае «агентного» ransomware — атаки под названием JadePuffer. В ней ИИ-агент, а не человек, выполнял техническую реализацию кибератаки от начала до конца: проник на уязвимый сервер, похитил учётные данные, перемещался по сети цели, зашифровал файлы и даже написал собственную выкупную записку, адаптируясь к препятствиям как хакер-человек. Однако, как пояснил в интервью CyberScoop Майкл Кларк, старший директор по исследованиям угроз Sysdig, за атакой всё равно стоял человек — просто не на уровне исполнения.
Человек выбрал цель, подготовил инфраструктуру (командный сервер и сервер для хранения похищенных данных) и заранее получил учётные данные для доступа к базе данных жертвы. Именно эти учётные данные, добытые в ходе предыдущего компромисса, были переданы агенту — он их не добывал самостоятельно. Таким образом, хотя техническая сторона атаки оказалась полностью автоматизированной, организационная часть осталась человеческой. Технические детали атаки всё равно впечатляют. Агент проник через известную уязвимость в Langflow, популярном инструменте с открытым исходным кодом для создания LLM-приложений, затем перешёл на production-сервер MySQL и использовал ещё одну известную уязвимость для получения прав администратора. Он зашифровал более 1300 записей конфигурации, оставил выкупную записку с адресом Bitcoin для оплаты. Хотя использованные методы были довольно обычными, выделялась скорость и прозрачность: агент исправил неудачную попытку входа за 31 секунду, комментируя свои действия в коде на естественном языке.
Первоначально сообщалось, что в атаке использовались несколько моделей, поскольку были найдены ключи API от OpenAI, Anthropic, DeepSeek и Gemini. Однако Кларк уточнил TechCrunch, что эти ключи были частью похищенной добычи, а не свидетельством использования нескольких моделей для разных этапов. «Агент прочёсывал хост Langflow на предмет ценного — провайдерские API-ключи, облачные учётные данные, криптокошелёчные конфиги — и эти ключи были частью трофея, — написал Кларк в электронном письме. — Они показывают, что злоумышленник считал ценным, но не говорят, какая модель принимала решения.» Модель, управлявшая JadePuffer, не идентифицирована; у Sysdig нет данных о её системном промпте или конфигурации.
Однако человек выбирал жертву, добывал учётные данные и настраивал командные серверы — агент действовал только в технической части.

Несколько дней назад исследователь Microsoft Джефф Макдональд выдвинул гипотезу, что за атакой стоит open-weight модель с удалёнными защитными механизмами, а не фронтирная модель, основываясь на своём опыте red-teaming, показывающем, что защитные слои фронтирных лабораторий хорошо держатся. Sysdig не подтверждает и не опровергает эту версию. Макдональд также предупредил, что ransomware-кампании теперь ограничены в основном бюджетом злоумышленника, а не человеческими усилиями, что открывает возможность «тысяч или десятков тысяч одновременных кампаний». Однако Кларк отмечает, что пока человек должен выбирать каждую жертву, обеспечивать инфраструктуру и добывать учётные данные, это остаётся узким местом. Тем не менее, учитывая низкую стоимость запуска агента, Sysdig ожидает, что подобные атаки станут более частыми.



