Der en tradisjonell løsepengeoperasjon krever et team med tid, verktøy og erfaring, kjørte denne kampanjen på en agent. Sysdig knytter angrepet til en økonomisk motivert gruppe kalt JadePuffer og tidfester det til slutten av juni 2026. Agenten fyrte av over 600 distinkte nyttelaster i rask rekkefølge, diagnostiserte egne feil underveis og rullet ut en korrigert nyttelast 31 sekunder etter at den først feilet.
Den brøt seg inn i en sårbar server, sanket opp innloggingsdetaljer, beveget seg sideveis i nettverket, krypterte over 1 300 konfigurasjonsposter og skrev til slutt sitt eget løsepengebrev med en Bitcoin-adresse. Men fullt autonomt var det ikke: et menneske satte opp infrastrukturen, kommando-og-kontroll-serveren og staging-serveren for de stjålne dataene, og valgte offeret.
Det viktige for deg som bygger og drifter tjenester er ikke at KI-en fant en ny sårbarhet, for det gjorde den ikke. Den senket kostnaden. Terskelen for å kjøre en full løsepengeoperasjon faller nå til det det koster å kjøre en agent, og inngangen var den samme gamle: en eksponert, sårbar server og gjenbrukte legitimasjoner.
Hva bør du gjøre?
- Steng eksponerte tjenester du ikke trenger, og hold servere som vender mot internett patchet. Inngangen her var en kjent sårbarhet, ikke KI-magi.
- Roter og begrens legitimasjoner. Agenten kom videre fordi den fant brukbare innloggingsdetaljer på den første maskinen.