К содержанию
Новости

Sysdig сообщила о случае ransomware-атаки, где основные действия выполняла LLM

Sysdig сообщила о случае ransomware-атаки, где основные действия выполняла LLM
Фото: ITPro

Исследовательская команда Sysdig Threat Research Team сообщила о первом документированном случае ransomware-операции, где основную часть атаки выполняла большая языковая модель. Как пишет ITPro, оператор под названием JadePuffer использовал уязвимость в Langflow, чтобы получить доступ к учетным данным и другим данным, а затем захватил рабочую базу данных и зашифровал ее с целью вымогательства.

Директор по исследованию угроз Sysdig Майкл Кларк уточнил, что атаку все же организовал человек. Он подготовил инфраструктуру, нашел исходные учетные данные и выбрал цель. Дальнейшие действия, включая перемещение внутри инфраструктуры, повторные попытки входа и создание механизма закрепления, по словам исследователей, выполняла сама LLM. В Sysdig также отметили, что вредоносные сценарии сопровождались подробными текстовыми пояснениями о каждом этапе атаки и приоритизации целей.

Кларк рассказал, что система могла адаптироваться в реальном времени. В одном из эпизодов она перешла от неудачной попытки входа к рабочему варианту за 31 секунду. Генеральный директор Salt Security Рои Элияху считает, что такое сокращение времени между обнаружением и ущербом меняет сам подход к защите, поскольку автоматизированный агент способен быстро корректировать свои действия без участия человека.

JadePuffer также сформировал записку с требованием выкупа, адресом Bitcoin-кошелька и контактом Proton email. При этом Sysdig отметила, что указанный адрес кошелька часто используется как пример в онлайн-материалах, поэтому его появление могло быть совпадением или результатом галлюцинации модели. Кларк добавил: ключ шифрования был сгенерирован случайным образом, поэтому жертва не смогла бы восстановить данные даже после выплаты выкупа.

Ключевые факты

  • Sysdig связала атаку JadePuffer с эксплуатацией уязвимости в Langflow.

  • По данным Sysdig, одна из последовательностей атаки перешла от неудачного входа к успешному за 31 секунду.

  • В записке с требованием выкупа использовались Bitcoin-адрес и контакт Proton email.

  • Sysdig утверждает, что ключ шифрования был случайным, поэтому расшифровка данных была невозможна даже после выплаты выкупа.