‹ ARQUIVO NB-L068 · .log · 2026·07

Uma inteligência artificial conduziu, sozinha, um ataque de ransomware do princípio ao fim

Uma inteligência artificial conduziu, sozinha, um ataque de ransomware do princípio ao fim
NB-L068 .log

A equipa de investigação da Sysdig documentou aquilo que diz ser o primeiro caso de um ataque de ransomware, um programa que invade sistemas, cifra os dados e exige resgate, executado de ponta a ponta por um agente de inteligência artificial, sem um humano a comandar cada passo. Chamaram-lhe JadePuffer. A invasão, a recolha de credenciais, o salto para o servidor certo, a cifragem e a nota de resgate, tudo foi conduzido pela máquina.

O nome do software é o que menos interessa. A fasquia para lançar um ataque destes acabou de desabar. Já não é preciso saber piratear, é preciso pôr um agente a correr. E a porta de entrada foi, com uma ironia perfeita, uma das ferramentas que hoje toda a gente usa para construir agentes de IA.

A porta era a própria ferramenta de IA

O ponto de partida foi uma instância do Langflow exposta na internet, uma plataforma aberta para montar aplicações e agentes de IA. O atacante entrou por uma falha já conhecida e corrigida, a CVE-2025-3248 (que permite a um estranho executar código no servidor sem qualquer autenticação). Lá dentro, o agente fez o que um intruso humano faria, mas em segundos, e vasculhou tudo, chaves de acesso a serviços de IA como o OpenAI, o Anthropic e o DeepSeek, credenciais da nuvem, carteiras de criptomoeda e palavras-passe de bases de dados. Encontrou até um cofre de ficheiros protegido pela palavra-passe de fábrica, minioadmin:minioadmin, que ninguém trocou.

Com as credenciais na mão, saltou para o alvo verdadeiro, um servidor de base de dados em produção. Usou outra falha antiga, a CVE-2021-29441, e uma chave de assinatura que ninguém trocou para forjar um passe de administrador e criar uma conta escondida. Depois cifrou 1.342 configurações do sistema, apagou os originais e deixou uma tabela com o pedido de resgate, um endereço de Bitcoin e um contacto de email.

Como se sabe que foi uma máquina

Os indícios de que não havia humano ao volante estão no próprio código. Os comandos vinham anotados em linguagem natural, a explicar o porquê de cada passo e a ordenar os alvos por retorno, o tipo de comentário que um operador humano nunca escreve num script descartável, mas que um modelo de linguagem produz por reflexo. E adaptava-se em tempo real. Numa sequência, foi de um início de sessão falhado a uma correção a funcionar em 31 segundos. Quando pediu uma resposta num formato e recebeu outro, o comando seguinte já a lia no formato certo. Quando uma ordem de apagar falhou por causa de uma proteção da base de dados, o comando seguinte desligou a proteção e voltou a tentar.

Nem tudo lhe correu bem, e é aí que o caso fica arrepiante. O endereço de Bitcoin que exigiu para o resgate é o exemplo que aparece na documentação técnica da própria moeda, provavelmente uma memória do modelo colada sem pensar, ainda que a Sysdig não exclua uma carteira escolhida pelo operador. E a chave que usou para cifrar os dados foi impressa uma única vez e nunca guardada, o que significa que a vítima não recupera nada, mesmo que pague. Foi tosco, mas funcionou, à velocidade da máquina.

É a assinatura de uma primeira versão, e as primeiras versões melhoram. A Sysdig resume-o sem rodeios: «a fasquia para operar ransomware caiu para o custo de pôr um agente a correr», e avisa que estas campanhas vão crescer à medida que as ferramentas amadurecem. Em Portugal, o Centro Nacional de Cibersegurança tem dito o mesmo por outras palavras no seu relatório anual, a IA generativa baixa a barreira de entrada no cibercrime e ajuda a automatizar as suas técnicas. Este caso é a demonstração prática.

Como te proteges

As medidas que travam isto são higiene básica que continua por fazer:

  • Trata as ferramentas de IA como superfície de ataque. Se corres um Langflow ou parecido, atualiza-o e nunca o exponhas à internet sem autenticação.
  • Não deixes chaves de acesso nem credenciais da nuvem guardadas em máquinas que tocam a web. Foram elas que deram ao agente as chaves do reino.
  • Elimina as palavras-passe de fábrica. O minioadmin:minioadmin e as chaves de assinatura por defeito são a primeira coisa que qualquer agente experimenta.
  • Limita para onde uma máquina comprometida se pode ligar. Se não consegue contactar o exterior, não descarrega instruções nem rouba dados.
  • Vigia o próprio delator. Um agente narra os seus objetivos no código que executa, e essa tagarelice é uma oportunidade rara de o apanhar.

Durante anos, a defesa teve uma coisa a seu favor, atacar bem dava trabalho e exigia talento. Essa vantagem está a desaparecer. Quando o custo de um ataque completo é o de alugar um robô por umas horas, deixa de haver alvos pequenos de mais para valer a pena.

Fontes: Sysdig, Bleeping Computer, CNCS.

#StaySafe
🙏🖖

DOMÍNIO
BRI assistente

Quer saber sobre um projeto, um serviço ou uma notícia recente? Pergunte. Conheço todo o conteúdo deste site.