
The ‘first’ AI-run ransomware attack still needed a human
Na semana passada, pesquisadores da empresa de segurança em nuvem Sysdig afirmaram ter documentado o primeiro caso conhecido de “ransomware agênico”. Tratava-se de uma operação de extorsão, batizada de JadePuffer, na qual um agente de IA — e não um ser humano — conduziu a execução técnica de um ataque cibernético no mundo real do início ao fim. O agente invadiu um servidor vulnerável, roubou credenciais, percorreu a rede do alvo, criptografou arquivos e até mesmo redigiu sua própria nota de resgate, adaptando-se aos obstáculos ao longo do caminho como um hacker humano faria. A cobertura da operação descreveu-a como conduzida “sem qualquer supervisão humana”, com “nenhum humano no teclado”.
Mas esse não é exatamente o quadro completo. Em entrevista na segunda-feira ao CyberScoop, Michael Clark, diretor sênior de pesquisa de ameaças da Sysdig, esclareceu que um ser humano ainda estava bastante envolvido — só que não na execução técnica. “Um ser humano ainda configurou e orientou a operação, provisionou a infraestrutura por trás dela — o servidor de comando e controle, o servidor de preparação usado para os dados roubados — e escolheu uma vítima”, disse Clark. As credenciais usadas para invadir o banco de dados da vítima, acrescentou ele, não foram obtidas pelo próprio agente de IA; alguém as obteve separadamente, por meio de um comprometimento anterior, e as repassou para a operação.
Nada disso contradiz a afirmação original da Sysdig, e os detalhes técnicos do ataque continuam notáveis por si só — até mesmo impressionantes. O agente conseguiu entrar por meio de um bug conhecido no Langflow, uma popular ferramenta de código aberto para a criação de aplicativos LLM, depois seguiu para um servidor MySQL de produção e explorou outra falha conhecida para obter acesso de administrador. Ele criptografou mais de 1.300 registros de configuração e não apenas deixou para trás uma nota de resgate que ele mesmo escreveu, mas também um endereço de Bitcoin para onde o resgate poderia ser enviado. A Sysdig não divulgou quem foi o alvo.
As técnicas eram aparentemente bastante comuns; o que se destacou foi a velocidade e a transparência envolvidas. O agente corrigiu uma falha de login em 31 segundos, narrando seu próprio raciocínio em comentários de código em linguagem natural durante todo o processo.
Um detalhe que inicialmente parecia confundir o quadro já foi esclarecido. Clark havia dito ao CyberScoop que a Sysdig descobriu que “vários modelos foram usados no ataque”, citando chaves coletadas da OpenAI, Anthropic, DeepSeek e Gemini — uma formulação que deixava em aberto a questão de se vários modelos teriam impulsionado ativamente diferentes etapas da invasão. Solicitado a esclarecer, Clark disse ao TechCrunch que essas chaves eram simplesmente parte do que o agente roubou, não evidências do que o estava motivando.
“O agente vasculhou o host do Langflow em busca de qualquer coisa de valor — chaves de API de provedores, credenciais de nuvem, carteiras de criptomoedas e configurações de banco de dados — e essas chaves de provedores faziam parte do saque”, disse ele por e-mail. “Elas são indicativas do que o invasor considerou que valia a pena levar, mas não nos dizem qual modelo estava tomando as decisões.”
Sobre o modelo que realmente executava o JadePuffer, Clark disse que a Sysdig “não conseguiu identificar o modelo específico que controlava o agente” e não tem visibilidade sobre seu prompt de sistema ou configuração.
Vale a pena revisitar, sob essa perspectiva, a teoria do pesquisador da Microsoft Geoff McDonald, apresentada no LinkedIn há alguns dias. McDonald suspeitava que um modelo de peso aberto, sem o treinamento de segurança, e não um modelo de fronteira, estivesse por trás do ataque, com base em sua própria experiência com testes de invasão (red teaming), que mostrou que as camadas de segurança dos laboratórios de fronteira se mostram bastante resistentes. O relato da própria Sysdig não confirma nem descarta essa hipótese.
A postagem de McDonald também alertou que as campanhas de ransomware agora são limitadas principalmente pelo orçamento dos invasores, e não pelo esforço humano, aumentando a possibilidade de “milhares ou dezenas de milhares de campanhas simultâneas”. Essa preocupação é um pouco mais difícil de conciliar com o que Clark descreveu na segunda-feira. (Se um ser humano ainda precisa escolher cada vítima, provisionar a infraestrutura e obter credenciais de banco de dados para cada operação, isso representa, no mínimo, um gargalo.)
De qualquer forma, Clark disse ao CyberScoop que, embora a Sysdig ainda não tenha visto a mesma operação atingir outras vítimas, considerando o quão barato é executar um agente, ele espera que isso mude.