Agente de IA executa ataque de ransomware contra banco de dados de empresa
- Cyber Security Brazil
- há 4 horas
- 6 min de leitura

A Sysdig afirmou ter identificado o que considera o primeiro ataque de ransomware conduzido de ponta a ponta por um agente de inteligência artificial. Segundo a equipe de pesquisa da empresa, a operação foi atribuída a um operador rastreado como JADEPUFFER e usou um grande modelo de linguagem para automatizar toda a cadeia de ataque: invasão inicial, coleta de credenciais, movimentação no ambiente, comprometimento de serviços internos e destruição de um banco de dados de produção.
O caso chama atenção porque o ransomware tradicionalmente depende de algum nível de intervenção humana, seja na operação manual do ataque, seja na criação prévia de scripts e ferramentas que executam ações específicas. No incidente descrito pela Sysdig, porém, o agente teria encadeado etapas sucessivas por conta própria, reduzindo a barreira técnica necessária para executar uma operação destrutiva. Na prática, se esse modelo se repetir, o custo para conduzir ataques pode se aproximar do valor necessário para alugar ou operar um agente de IA.
A porta de entrada foi uma vulnerabilidade antiga e já corrigida no Langflow, ferramenta open source usada para criar aplicações de IA e fluxos de agentes. A falha, rastreada como CVE-2025-3248, envolve ausência de autenticação e permite execução remota de código Python por qualquer pessoa capaz de acessar o servidor vulnerável, sem necessidade de login.
Servidores Langflow são alvos atrativos porque muitas vezes ficam expostos à internet e armazenam chaves de API, tokens e credenciais em variáveis de ambiente ou integrações com serviços de nuvem e plataformas de IA. A vulnerabilidade foi corrigida no Langflow 1.3.0 e adicionada ao catálogo Known Exploited Vulnerabilities da CISA em maio de 2025, mas a Sysdig observou que muitos ambientes não foram atualizados.
Depois de explorar a falha, o agente mapeou rapidamente a máquina comprometida e iniciou uma varredura por segredos. Entre os dados buscados estavam chaves de API para serviços de IA, incluindo OpenAI, Anthropic, DeepSeek e Gemini, além de credenciais de nuvem de provedores como Alibaba, Tencent, AWS, Google Cloud e Azure. O agente também procurou chaves de carteiras de criptomoedas e credenciais de bancos de dados.
A operação também comprometeu um servidor MinIO usando as credenciais padrão de fábrica “minioadmin:minioadmin”, que não haviam sido alteradas. Esse ponto reforça um problema recorrente em incidentes de segurança: configurações padrão, quando mantidas em produção, podem transformar serviços internos em alvos de fácil exploração.
O agente criou ainda um mecanismo de persistência ao adicionar uma tarefa agendada que se comunicava com o servidor do invasor a cada 30 minutos. Esse tipo de beacon permite que o operador mantenha um canal de retorno com o sistema comprometido, acompanhe o ambiente e envie novas instruções.
Em seguida, o ataque avançou para o alvo principal: um servidor separado, exposto à internet, que executava um banco de dados MySQL e o Nacos, plataforma da Alibaba usada para gerenciamento de configurações e descoberta de serviços em ambientes de microsserviços. O agente conseguiu se autenticar no banco de dados como root.
A Sysdig informou que não conseguiu determinar a origem das credenciais root usadas no MySQL. A partir desse acesso, o agente comprometeu o Nacos explorando uma falha de bypass de autenticação de 2021, rastreada como CVE-2021-29441, combinada ao uso de uma chave de assinatura padrão que o Nacos distribui sem alteração desde 2020. Com isso, o agente criou sua própria conta administrativa no serviço.
A etapa de extorsão teve um detalhe incomum: o agente criptografou todas as 1.342 configurações do Nacos, apagou as tabelas originais e deixou uma nota de resgate exigindo pagamento em Bitcoin, com contato por Proton Mail. No entanto, a chave de criptografia foi gerada aleatoriamente, exibida uma única vez na tela e não foi salva nem enviada para qualquer lugar.
Isso significa que, segundo a Sysdig, não havia chave a ser entregue à vítima. Mesmo que o resgate fosse pago, os dados não poderiam ser recuperados por meio da descriptografia. A nota de resgate alegava uso de AES-256, embora a Sysdig tenha observado que a ferramenta usada no ataque utiliza AES-128 por padrão. Em termos práticos, o resultado para a vítima seria o mesmo: perda dos dados criptografados.
O agente também apagou bancos de dados inteiros e deixou um comentário no próprio código afirmando que os dados já teriam sido copiados para outro local. A Sysdig, porém, tratou essa afirmação com cautela e disse não ter encontrado evidências de que os dados tenham sido realmente exfiltrados. Nesse caso, a alegação pode ter sido apenas uma saída gerada pelo próprio agente, sem comprovação operacional.
Um dos elementos usados pela Sysdig para sustentar a hipótese de automação por IA foi o próprio código dos payloads. Os artefatos continham comentários em linguagem natural explicando por que cada etapa estava sendo executada. Esse tipo de “raciocínio narrado” é incomum em ataques conduzidos manualmente por hackers, mas é típico de modelos de linguagem que documentam ações por padrão.

Outro sinal foi a capacidade de correção em alta velocidade. Em um dos momentos analisados, o agente passou de uma tentativa de login malsucedida para uma correção em múltiplas etapas em apenas 31 segundos, diagnosticando a causa do erro em vez de simplesmente repetir a tentativa. No total, a Sysdig contabilizou mais de 600 payloads distintos e intencionais ao longo da operação.
Um detalhe ainda não esclarecido envolve o endereço Bitcoin usado na nota de resgate. O endereço é exatamente o mesmo exemplo presente na documentação de desenvolvedores do Bitcoin, amplamente replicado em textos públicos usados para treinamento de modelos. Ao mesmo tempo, trata-se de uma carteira real e ativa, com histórico de pagamentos. A Sysdig não conseguiu determinar se o modelo simplesmente reproduziu um endereço conhecido de seus dados de treinamento ou se o operador escolheu deliberadamente uma carteira real que coincide com o exemplo famoso.
O caso JADEPUFFER se soma a uma sequência de pesquisas sobre ataques ofensivos com uso crescente de IA. Em agosto de 2025, pesquisadores da ESET relataram o PromptLock, descrito inicialmente como o primeiro ransomware com IA, mas que depois se revelou um protótipo de laboratório da NYU chamado Ransomware 3.0, e não um ataque real.
Na mesma época, a Anthropic relatou uma campanha real de extorsão que usou a ferramenta Claude Code contra ao menos 17 organizações, com demandas superiores a US$ 500 mil. Nesse caso, porém, ainda havia condução humana mais clara na operação.
Em novembro de 2025, a Anthropic também descreveu o que chamou de primeiro ataque cibernético amplamente autônomo, envolvendo uma operação de espionagem vinculada à China na qual o Claude teria ajudado a escrever exploits e roubar dados com pouca intervenção humana. Segundo a empresa, a IA também inventou credenciais inexistentes durante a operação, comportamento que lembra a possibilidade de alucinação associada ao endereço Bitcoin usado pelo JADEPUFFER.
A conclusão central é que partes importantes de um ataque sofisticado estão sendo automatizadas rapidamente. Vulnerabilidades antigas, servidores expostos e credenciais padrão tornam-se alvos ainda mais acessíveis quando agentes conseguem testar, adaptar comandos e encadear ações em escala. Para organizações com sistemas negligenciados, o risco aumenta porque a exploração de bugs conhecidos pode ser feita de forma barata, repetitiva e quase contínua.
A Sysdig recomenda corrigir o Langflow e evitar expor à internet endpoints capazes de executar código. Ferramentas de IA não devem operar com chaves de nuvem, tokens de provedores e credenciais sensíveis disponíveis diretamente no ambiente. Esses segredos devem ser armazenados em gerenciadores apropriados, separados de serviços acessíveis pela web.
A empresa também recomenda fortalecer ambientes Nacos, trocando a chave de assinatura padrão, mantendo o serviço fora da internet pública e impedindo que ele se conecte ao banco de dados com privilégios de root. Da mesma forma, contas administrativas de banco de dados não devem ficar expostas à internet, e o tráfego de saída deve ser controlado para impedir que um servidor comprometido se comunique livremente com infraestrutura externa.
Para a Sysdig, como agentes automatizados podem transformar novas divulgações de vulnerabilidades em exploração prática em poucas horas, a defesa não pode depender apenas da velocidade de aplicação de patches. Monitoramento de comportamento em tempo de execução, detecção de abuso de credenciais, análise de comandos anômalos e controle de comunicação externa passam a ser camadas essenciais.
Os indicadores divulgados pela Sysdig incluem a CVE-2025-3248 como ponto de entrada, o endereço de comando e controle:
45.131.66[.]106, com beacon para hxxp://45.131.66[.]106:4444/beacon a cada 30 minutos, além do servidor de staging alegado 64.20.53[.]230.
A nota de resgate usava o endereço Bitcoin 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy, o contato e78393397[@]proton[.]me e uma tabela chamada README_RANSOM.
A Sysdig descreve o JADEPUFFER mais como um sinal de alerta do que como uma crise imediata. Nenhuma etapa individual do ataque era especialmente nova ou sofisticada. O que muda é a capacidade de um modelo reunir ações conhecidas em uma cadeia completa contra um servidor negligenciado. À medida que ferramentas agentic amadurecem, qualquer servidor exposto, repositório de configuração ou login administrativo de banco de dados deve ser tratado como algo que será testado por máquinas, não apenas por operadores humanos.


