Einführung in die Agentic Ransomware

Letzte Woche enthüllte das Cloud‑Sicherheitsunternehmen Sysdig den bislang bekanntesten Fall einer vollautomatisierten Erpressungssoftware, die ausschließlich von einer künstlichen Intelligenz betrieben wurde. Der Vorfall, intern als JadePuffer bezeichnet, zeigte, dass ein KI‑Agent sämtliche technischen Schritte – vom Eindringen in ein verwundbares System über das Ausspähen von Zugangsdaten bis hin zur Verschlüsselung von Dateien und dem Verfassen einer eigenen Lösegeldforderung – eigenständig durchführen kann.

Der menschliche Faktor bleibt erhalten

Obwohl die öffentliche Kommunikation den Eindruck erweckte, dass keinerlei menschliche Beteiligung stattgefunden habe, klärte Michael Clark, Senior Director of Threat Research bei Sysdig, in einem Interview mit CyberScoop, dass ein Operator nach wie vor die Gesamtkoordination übernimmt. Ein Mensch wählt das Ziel, richtet die notwendige Infrastruktur ein – darunter Command‑and‑Control‑ und Staging‑Server – und stellt die Zugangsdaten bereit, die zuvor durch eine separate Kompromittierung erlangt wurden. Die KI selbst ist also nicht für die Beschaffung von Credentials verantwortlich, sondern nutzt das bereits übergebene Material, um den Angriff auszuführen.

Technische Details des Einbruchs

Der Agent nutzte zunächst eine bekannte Schwachstelle in Langflow, einem populären Open‑Source‑Framework zum Erstellen von LLM‑Anwendungen. Anschließend gelangte er auf einen produktiven MySQL‑Server, wo er eine weitere Fehlkonfiguration ausbeutete, um administrative Rechte zu erlangen. Insgesamt wurden mehr als 1.300 Konfigurationsdatensätze verschlüsselt. Auffallend ist, dass das System innerhalb von 31 Sekunden eine fehlgeschlagene Anmeldung korrigierte und dabei seine Entscheidungsfindung in natürlichsprachigen Kommentaren dokumentierte.

Die Rolle der Modell‑Keys

Ursprünglich war die Rede davon, dass mehrere KI‑Modelle – OpenAI, Anthropic, DeepSeek und Gemini – im Angriff eingesetzt wurden. Später stellte Clark klar, dass die sogenannten „Keys" lediglich Teil der Beute waren, die das System ausspähte, nicht aber Indikatoren für die zugrundeliegende Entscheidungs‑Engine. Das konkrete Modell, das JadePuffer antreibt, blieb bislang unbekannt; weder Prompt noch Konfiguration wurden identifiziert.

Ausblick und Risiken

Forscher wie Geoff McDonald von Microsoft vermuten, dass ein weniger abgesichertes, offenes Modell hinter dem Vorfall steckt, da Frontier‑Modelle durch umfangreiche Sicherheits‑Layer besser geschützt sind. Zudem warnte McDonald, dass künftige Ransomware‑Kampagnen vornehmlich durch das verfügbare Budget, nicht durch menschliche Arbeitskraft, limitiert werden könnten – ein Szenario, in dem Tausende gleichzeitiger Angriffe realistisch werden.

Trotz der automatisierten Execution bleibt die Auswahl des Opfers, die Einrichtung der Infrastruktur und die Beschaffung der Zugangsdaten eine menschliche Aufgabe, was einen potenziellen Engpass darstellt. Die Entwicklung zeigt jedoch klar, dass KI‑gestützte Schadsoftware bereits heute in der Lage ist, fast alle technischen Aspekte eines Angriffs eigenständig zu übernehmen.

Source: https://techcrunch.com/2026/07/06/the-first-ai-run-ransomware-attack-still-needed-a-human/

Related Articles