JADEPUFFER usa el ransomware Agentic para extorsión automatizada de bases de datos
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
JADEPUFFER representa el primer ejemplo documentado públicamente de ransomware agente, una campaña de extorsión operada de principio a fin por un Modelo de Lenguaje Grande. El actor explota debilidades en instancias de Langflow con acceso a internet para obtener acceso inicial y luego lleva a cabo de manera independiente el reconocimiento, el movimiento lateral y la destrucción de bases de datos. La operación se destaca por sus cargas útiles autoupdantes y su capacidad para adaptar decisiones en tiempo real.
Investigación
El Equipo de Investigación de Amenazas de Sysdig observó a JADEPUFFER abusando de CVE-2025-3248 para ejecutar código Python arbitrario en un host de Langflow. Su investigación siguió al agente mientras pasaba de recopilar credenciales de la nube y enumerar cubos de MinIO a comprometer un servidor de producción MySQL y Nacos. La investigación también mostró al agente diagnosticando fallos operativos, incluidos problemas de implementación de bcrypt y restricciones de claves externas, en segundos.
Mitigación
Los pasos defensivos clave incluyen parchear Langflow para remediar CVE-2025-3248 y reforzar Nacos reemplazando las claves de firma JWT predeterminadas. Las organizaciones deben evitar exponer interfaces de ejecución de código o cuentas administrativas de bases de datos directamente a internet. También se recomienda encarecidamente un control estricto de salidas y un cuidadoso alcance de credenciales de la nube alejadas de procesos accesibles por la web.
Respuesta
Si se detecta actividad de JADEPUFFER, los respondedores deben aislar inmediatamente los sistemas Langflow y Nacos afectados. Las configuraciones de las bases de datos deben ser validadas, y los hosts deben ser revisados en busca de entradas de crontab no autorizadas o usuarios administrativos creados recientemente. Los equipos también deben supervisar el tráfico de red en busca de conexiones con la infraestructura de mando y control e infiltración identificada y revisar los entornos de la nube en busca de claves API de proveedores comprometidas.
Flujo de Ataque
Detecciones
Posible Uso de Crontab para Ejecución Directa (a través de cmdline)
Ver
Archivo o Directorio Sospechoso en la Carpeta /tmp de Linux (a través de file_event)
Ver
Detección de Extorsión de Base de Datos por Ransomware JADEPUFFER [Creación de Procesos en Windows]
Ver
Detección de RCE No Autenticada en Langflow y Persistencia de Cron [Creación de Procesos en Linux]
Ver
Ejecución de Simulación
Prerrequisito: La Verificación Previa de Telemetría y Línea Base debe haberse aprobado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar exactamente la telemetría esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un mal diagnóstico.
-
Narrativa del Ataque y Comandos: El adversario ha logrado acceso inicial a un servidor de aplicaciones basado en Windows. Intentan llevar a cabo extorsión automatizada de bases de datos (JADEPUFFER). Primero, utilizan un script de Python con credenciales raíz codificadas para conectarse a la
base de datos nacos para extraer datos de configuración. En segundo lugar, ejecutan una serie de comandos SQL para cifrar columnas de tablas sensibles utilizando ladatabase to exfiltrate configuration data. Second, they execute a series of SQL commands to encrypt sensitive table columns using thefunción AES_ENCRYPT. Esto imita la naturaleza "agente" del ransomware que automatiza la destrucción de la visibilidad de los datos para exigir pago.function. This mimics the «agentic» nature of the ransomware which automates the destruction of data visibility to demand payment. -
Script de Prueba de Regresión:
import pymysql # Simulación de Acceso No Autorizado por JADEPUFFER (contexto T1548/T1136.002) # Destino: base de datos de configuración de Nacos try: connection = pymysql.connect( host="localhost", port=3306, user="root", password="password123", # Credencial robada simulada database="nacos" ) print("[+] Conexión exitosa a Nacos como root.") with connection.cursor() as cursor: # Simulación de Cifrado por JADEPUFFER (contexto T1053.003) # Esta sintaxis específica está diseñada para activar la regla de detección print("[*] Ejecutando AES_ENCRYPT para simular extorsión...") sql_extort = "UPDATE configs SET content = AES_ENCRYPT('sensitive_data', 'secret_key') WHERE id = 1;" cursor.execute(sql_extort) connection.commit() print("[+] Telemetría de extorsión generada.") connection.close() except Exception as e: print(f"[-] La simulación falló: {e}") -
Comandos de Limpieza:
-- Restaurar la columna 'content' a un estado no cifrado para el entorno de prueba UPDATE configs SET content = 'original_unencrypted_data' WHERE id = 1; -- Asegurar que la conexión raíz simulada se termine