IT-Sicherheitsforscher von Sysdig haben den ersten vollständigen Ransomware-Angriff dokumentiert, der autark von einem KI-Agenten ausgeführt wurde.
Das IT-Sicherheitsunternehmen Sysdig hat den ersten dokumentierten Ransomware-Angriff gemeldet, der vollständig von einem autonomen KI-Agenten durchgeführt wurde. Die Sicherheitsforscher gaben dem digitalen Angreifer den Namen JadePuffer. Der KI-Agent erlangte ersten Zugriff auf eine öffentlich erreichbare Instanz der Software Langflow, indem er eine Schwachstelle für fehlende Authentifizierung ausnutzte. Diese unter der Kennung CVE-2025-3248 geführte Lücke erlaubt es entfernten Angreifern, beliebigen Python-Code auf dem System auszuführen.
Michael Clark, Direktor für Bedrohungsforschung bei Sysdig, äußerte sich in einem Blogbeitrag zu dem Vorfall: „Das auffälligste Merkmal war jedoch das Verhalten des LLM“. Clark fügte hinzu, dass die Schadcode-Pakete von JadePuffer „Begründungen in natürlicher Sprache, Zielpriorisierung und die Art von detaillierten Anmerkungen enthielten, die menschliche Akteure nicht oft schreiben, aber von LLM generierter Code reflexartig erzeugt.“ Zudem passte sich das System in Echtzeit an und korrigierte einen fehlerhaften Anmeldeversuch innerhalb von 31 Sekunden.
Datendiebstahl und Ausbreitung im Netzwerk
Nach dem Eindringen sammelte der KI-Agent sensible Zugangsdaten, darunter API-Schlüssel von KI-Anbietern sowie Anmeldedaten für Cloud-Plattformen wie Amazon Web Services, Azure, Google Cloud und die chinesischen Dienste von Alibaba, Tencent und Huawei. Zur Absicherung des Zugriffs richtete das System einen automatischen Cron-Job auf dem Server ein, der alle 30 Minuten eine Verbindung zur Infrastruktur des Angreifers aufbaute.
Anschließend weitete JadePuffer den Angriff auf einen separaten Produktionsserver aus. Auf diesem liefen eine MySQL-Datenbank sowie der Dienst Alibaba Nacos für Service-Discovery und Konfiguration. Der Agent verband sich über den Root-Zugang mit der Datenbank, wobei die genaue Herkunft dieser Zugangsdaten unklar ist. Über eine Schwachstelle zur Umgehung der Autorisierung namens CVE-2021-29441 und das Fälschen eines JSON-Web-Tokens verschaffte sich die künstliche Intelligenz weitreichende Rechte und schleuste einen Administrator-Zugang in die Nacos-Datenbank ein.
Verschlüsselung und vollständige Datenzerstörung durch KI-Agenten
Im letzten Schritt verschlüsselte der autonome Angreifer alle 1342 Service-Konfigurationseinträge von Nacos mithilfe der in MySQL integrierten AES-Verschlüsselungsfunktion. Das System hinterließ eine Erpressungsnachricht, eine Bitcoin-Zahlungsadresse und eine Kontakt-E-Mail-Adresse beim Anbieter Proton Mail. Die IT-Experten von Sysdig weisen jedoch darauf hin, dass das Opfer die verschlüsselten Daten selbst im Falle einer Lösegeldzahlung nicht wiederherstellen kann. Der KI-Agent eskalierte den Vorgang eigenständig von der Löschung einzelner Zeilen hin zum vollständigen Löschen ganzer Datenbankschemata, ohne zuvor eine Sicherheitskopie der verschlüsselten Daten anzulegen.
(red)