// HEISE ONLINE — INTELLIGENZA ARTIFICIALE
Jadepuffer: Die erste KI-Ransomware-Attacke verbaselt nicht nur den Schlüssel
Forscher dokumentieren den ersten LLM-gesteuerten Ransomware-Angriff. Doch die KI scheiterte an grundlegenden Fehlern. Eine Mahnung für Admins.
Forscher der Cloud-Security-Firma Sysdig dokumentieren den ersten, wie sie behaupten „komplett LLM-getriebenen“ Ransomware-Vorfall. Und was sie beschreiben, ist tatsächlich ein Einbruch in ein Produktionssystem, bei dem offenbar ein LLM weitgehend autonom agiert, dabei wichtige Daten verschlüsselt beziehungsweise löscht und für deren Wiederbeschaffung Lösegeld fordert. Doch bei genauerer Betrachtung ist das Ganze eher skurril als ernsthaft gefährlich.
Dass bei dem Vorfall ein Large Language Model am Werk war, geht recht eindeutig aus den am Tatort vorgefundenen Skripten hervor. Menschliche Akteure dokumentieren ihre maliziösen Skripte eher nicht mit Kommentaren wie "High-ROI databases to drop". Für die These, dass das LLM weitgehend autonom handelte, führen die Forscher an, wie schnell es auf fehlgeschlagene Aktionen reagierte. So verbesserte es ein Skript nach einem fehlgeschlagenen Login innerhalb von 31 Sekunden.
Man könnte an der Stelle auch anführen, dass ein menschlicher Täter für die Lösegeldforderung kaum die Adresse einer Bitcoin-Wallet verwendet hätte, die häufig als Beispiel in öffentlich verfügbarer Dokumentation auftaucht (3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy). Oder mehr Wert darauf gelegt hätte, zumindest den Anschein zu erwecken, den zum Verschlüsseln der Daten verwendeten AES-Key auch tatsächlich für eine mögliche spätere Herausgabe zu speichern. Die Liste der für LLMs so typischen Fails ließe sich weiter fortsetzen.
Das LLM absolvierte alle typischen Schritte eines Ransomware-Angriffs: vom Initial Access über Persistenz, Informationsbeschaffung, weiteres Ausbreiten bis zum finalen Impact. Die konkreten Umstände des Einbruchs sind allerdings nicht unbedingt geeignet, bei seriösen Admins Schrecken zu verbreiten. Der initiale Zugriff erfolgte über eine offenbar seit langem ungepatchte Sicherheitslücke eines über Internet erreichbaren Langflow-Servers (CVE-2025-3248), einer Code-Injection-Lücke in einem Open-Source-Framework zum Bau von LLM-Systemen. Auf dem Server lief auch ein selbst-gehostetes MinIO, ein S3-kompatibler Objektspeicher mit Defaultzugang minioadmin:minioadmin. Der daraufhin angegriffene Naming-Server enthielt eine seit fünf Jahren bekannte Schwachstelle (CVE-2021-29441). Die Systeme und ihre Daten lagen also sozusagen auf einem Präsentierteller. Woher die Zugangsdaten für den finalen Zugriff auf eine MySQL-Datenbank stammen, ist allerdings ungeklärt.
Der von Sysdig als Jadepuffer bezeichnete Vorfall zeigt, dass Angreifer tatsächlich damit experimentieren, Angriffe von einer KI weitgehend selbstständig durchführen zu lassen. Und dass das prinzipiell Schaden verursachen kann. Doch selbst aus Sicht der eigentlichen Täter im Hintergrund dürfte dieser Vorfall bestenfalls als Proof of Concept denn als echter Durchbruch verbucht werden. Der Weg zum eigentlichen Ziel „make money fast“ ist doch noch sehr weit. Insgesamt wirkt das Vorgehen der KI mehr wie das eines Toddlers, der mit Cybercrime-Bauklötzchen spielt, als das eines Furcht einflößenden Cyber-Terminators. Doch beim aktuellen Tempo der KI-Entwicklung wird dieser Toddler sehr schnell dazu lernen. Die wichtigste Jadepuffer-Botschaft für Verteidiger ist jedenfalls keine neue: Es wird allerhöchste Zeit, seine Security-Hausaufgaben zu machen und seine IT-Infrastruktur vernünftig abzusichern.
Ob Sicherheitslücken, Viren oder Trojaner – alle sicherheitsrelevanten Meldungen gibts bei heise security
Ausführliche Informationen zum Versandverfahren und zu Ihren
Widerrufsmöglichkeiten erhalten Sie in unserer
Datenschutzerklärung.
Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.