Исследователи зафиксировали первую полностью автономную атаку программы-вымогателя, осуществлённую ИИ-агентом

Компания Sysdig, специализирующаяся на облачной безопасности, задокументировала, по её утверждениям, первый случай операции по распространению вымогательского ПО JadePuffer, которая была полностью проведена автономным агентом на основе большой языковой модели.
Исследователи зафиксировали первую полностью автономную атаку программы-вымогателя, осуществлённую ИИ-агентом

Исследователи зафиксировали первую полностью автономную атаку программы-вымогателя, осуществлённую ИИ-агентом. Фото: СС0

ИИ-агент самостоятельно выполнил все этапы атаки — от разведки и кражи учётных данных до перемещения по сети, закрепления в системе, повышения привилегий и шифрования данных, демонстрируя способность адаптироваться к сбоям в реальном времени подобно человеку-оператору, например, в одном из эпизодов ошибка входа в систему была автоматически устранена всего за 31 секунду.

Первоначальный доступ злоумышленник получил через уязвимость CVE-2025-3248 в популярном фреймворке Langflow, позволяющую удалённое выполнение кода без аутентификации, и хотя поставщик устранил эту брешь ещё 1 апреля 2025 года, атака состоялась до того, как многие организации успели применить патчи, и агент, получив доступ, выгрузил базу данных PostgreSQL, собрал информацию о хосте, извлёк переменные окружения и конфиденциальные файлы, получил учётные данные и перечислил хранилище MinIO, причём когда один API-запрос возвращал XML вместо JSON, агент автоматически корректировал логику анализа в следующей попытке.

Для закрепления на скомпрометированном сервере JadePuffer установил задачу cron, отправлявшую сигналы на инфраструктуру злоумышленника каждые 30 минут, а затем, используя экземпляр Langflow в качестве плацдарма, переключился на производственный сервер MySQL под управлением Alibaba Nacos, применяя учётные данные root, происхождение которых Sysdig не удалось установить.

После этого агент нашёл способ выхода из контейнера и зашифровал 1342 элемента конфигурации сервиса Nacos с помощью функции AES_ENCRYPT() в MySQL

Оригинальные таблицы config_info и history были удалены и заменены таблицей README_RANSOM с требованием выкупа, биткойн-адресом и контактом Proton Mail, причём в записке утверждалось использование AES-256, однако исследователи считают это преувеличением и полагают, что на самом деле применялся более слабый алгоритм AES-128-ECB.

Ключевым признаком того, что атакой управлял именно ИИ, стали подробные комментарии на естественном языке в сгенерированном коде, описывающие операционные рассуждения, а также быстрая итеративная адаптация к конкретным ошибкам, а не просто повторные попытки, при этом Sysdig отмечает, что биткойн-адрес в записке с требованием выкупа оказался примером адреса, широко используемого в публичной документации.

Это может указывать на то, что модель воспроизвела его из обучающих данных, и ключ шифрования генерировался случайным образом, но не хранился и не передавался злоумышленникам, что делает расшифровку без участия атакующих невозможной.

Команда Sysdig пришла к выводу, что случай JadePuffer может означать начало функционирования «агентов-террористов». Это снижает порог входа для проведения разрушительных кибератак, поскольку теперь даже злоумышленники с ограниченными техническими навыками могут поручить ИИ-агенту выполнение сложных многоэтапных операций.

Однако исследователи также подчёркивают, что полезные нагрузки, созданные с помощью LLM, оставляют характерные следы — детальные комментарии и специфические паттерны поведения — что открывает новые возможности для обнаружения таких атак с помощью специализированных решений безопасности.

Упомянутый сервис
ChatGPT Нейросеть для общения и генерации идей.
Нейросеть для общения и генерации идей.

Актуальное

Веб-версия Microsoft Excel показала десятикратный рост за шесть лет, обойдя Google Sheets по популярности среди пользователей браузерных таблиц
Исследователи Mozilla обнаружили скрытую атаку на Claude Code через DNS-записи
Microsoft обязалась завершить переход на постквантовую криптографию к 2029 году
Ещё…

Популярные теги