Cybersicherheit

KI kann jetzt Ransomware allein ausführen – solange ein Mensch sie einrichtet

Adrian Kessler

Die Ransomware, die diese Woche für Schlagzeilen sorgte, wurde nicht von einem Hacker gesteuert, der auf ein Terminal starrte. Ein KI-Agent bewältigte jede technische Phase des Angriffs eigenständig – er kartierte das Ziel, stahl Zugangsdaten, bewegte sich zwischen Systemen und verschlüsselte über tausend Datenbankeinträge. Was er nicht konnte: seine eigene Zahlungsinfrastruktur aufsetzen oder die Lösegeldforderung versenden.

Die Cloud-Sicherheitsfirma Sysdig dokumentierte den Einbruch und gab ihm den Namen JadePuffer. Der Agent verschaffte sich Zugang über CVE-2025-3248, eine nicht authentifizierte Schwachstelle zur Remotecodeausführung in Langflow, einem quelloffenen Framework zum Bau KI-gestützter Anwendungen. Von diesem Einstiegspunkt aus durchkämmte er die Umgebung nach API-Keys, Cloud-Zugriffstokens und Datenbank-Anmeldeinformationen, wechselte dann zu einem produktiven MySQL-Server und verschlüsselte 1.342 Konfigurationselemente, die in Nacos gespeichert waren – einer weit verbreiteten Enterprise-Service-Registry, die oft in Infrastruktur-Stacks chinesischen Ursprungs verwendet wird.

Das auffälligste Detail ist jedoch nicht die Breite des Angriffs, sondern seine Selbstkorrektur. Als der Versuch, Administrator-Anmeldedaten zu fälschen, aufgrund eines Pfadkonfigurationsfehlers scheiterte, diagnostizierte der Agent die Ursache, schrieb ein 15-Schritte-Behebungsskript und führte es in 31 Sekunden aus. Das ist zu schnell, als dass ein menschlicher Operator diagnostiziert, skriptiert und die Behebung hätte ausführen können – das Verhalten deutet auf echtes situatives Reasoning hin und nicht auf vorgefertigte Playbooks.

Nichts davon bedeutet, dass Ransomware-Operationen bald ohne Menschen auskommen. Der Angriff erforderte nach wie vor, dass ein Mensch den Command-and-Control-Server konfigurierte, die Lösegeld-Kontaktadresse bei ProtonMail registrierte und die Infrastruktur aufbaute, bevor der Agent eingesetzt wurde. Der von JadePuffer generierte Verschlüsselungsschlüssel wurde nie gespeichert oder übertragen – was bedeutet, dass Opfer ihre Daten selbst dann nicht wiederherstellen können, wenn sie zahlen, ein Fehler, der entweder auf schlechtes operatives Design oder Gleichgültigkeit gegenüber der Verhandlungsphase nach dem Angriff hindeutet.

Was JadePuffer tatsächlich dokumentiert, ist eine Kostensenkung, keine Aufgabenübergabe. Jede Phase, die zuvor spezialisiertes Fachwissen erforderte – laterale Bewegung, Privilegienausweitung, Datenbank-Enumeration, Echtzeit-Fehlerkorrektur – kann nun an einen Agenten delegiert werden. Sysdigs Schlussfolgerung ist direkt: Die Mindestqualifikation für Ransomware-Operationen ist auf das gesunken, was es kostet, ein Sprachmodell zu betreiben.

Der Angriff zielte auf Langflow-Installationen ab, die im Internet exponiert waren. Zum Zeitpunkt der Veröffentlichung der Langflow-CVE wurden rund 7.000 verwundbare Instanzen gemeldet. Jede Organisation, die ungepatchtes Langflow, Nacos oder ähnliche quelloffene LLM-Infrastruktur auf internetzugänglichen Servern betreibt, befindet sich im selben Gefährdungsfenster. Dies ist kein neuer Ratschlag; es ist derselbe Sicherheitshinweis, der bereits vor KI-Agenten existierte. Der Unterschied ist, dass der Operator, der nach diesen exponierten Diensten sucht, jetzt automatisch läuft.

Die Langflow-Schwachstelle wurde im April 2025 gepatcht. Sysdig veröffentlichte vollständige Indikatoren für eine Kompromittierung, einschließlich C2-IP-Adressen und der Lösegeld-Kontaktadresse. CISA hat einen Entwurf für Richtlinien zu agentischer KI-Systembeschränkungen für später in diesem Jahr angekündigt – die Frage, wo die Befugnisse eines eingesetzten KI-Agenten enden und wo die Verantwortung beginnt, hat noch keine politische Antwort gefunden.

Schlagwörter: , , , , ,

Diskussion

Es gibt 0 Kommentare.