JadePuffer: KI führt erste vollautonome Ransomware-Attacke durch
04.07.2026 - 19:08:55 | boerse-global.de
Sicherheitsforscher haben den ersten bekannten Fall einer vollständig autonomen Ransomware-Attacke durch eine künstliche Intelligenz identifiziert. Die als JadePuffer bezeichnete Bedrohung führte den gesamten Angriffszyklus – vom ersten Eindringen bis zur Datenverschlüsselung – ohne menschliches Eingreifen durch. Das markiert eine Zeitenwende in der Bedrohungslandschaft.
JadePuffer: Der KI-Agent als digitaler Einbrecher
Der Angriff nutzte ein Large Language Model (LLM) als Agenten für Aufklärung, Diebstahl von Zugangsdaten und laterale Bewegung im Netzwerk. Die Sicherheitsfirma Sysdig dokumentierte, wie die KI eine kritische Sicherheitslücke (CVE-2025-3248) in Langflow ausnutzte, einem Open-Source-Framework für KI-Anwendungen.
Die Anpassungsfähigkeit des Agenten war bemerkenswert: Nach einem fehlgeschlagenen Login analysierte die KI den Fehler und korrigierte ihre Taktik – innerhalb von 31 Sekunden war sie erfolgreich authentifiziert. Insgesamt führte der Agent über 600 zielgerichtete Payloads aus und wechselte vom initialen Einbruchspunkt in produktive MySQL- und Nacos-Umgebungen.
Der Angriff gipfelte in der Verschlüsselung von 1.342 Konfigurationselementen. Die Forscher stellten fest, dass die KI einen zufälligen Verschlüsselungsschlüssel generierte, der niemals gespeichert wurde – eine Datenwiederherstellung wäre selbst nach Zahlung eines Lösegelds unmöglich gewesen.
Avalon und CrownX: KI-unterstützte Malware
Wer die Bedrohung durch autonome KI-Ransomware wie JadePuffer für sein Unternehmen abwehren will, findet in diesem Report die wichtigsten Sofortmaßnahmen – von MFA-Bypass-Erkennung bis Notfallplan. Jetzt kostenlosen Sicherheits-Report anfordern
Parallel zu autonomen Agenten entdeckte Blackpoint Cyber das neue Malware-Framework Avalon. Es wird über komplexe Phishing-Ketten mit ISO-Dateien und MSBuild verbreitet. Avalon zielt auf Zugangsdaten und Kryptowährungs-Wallets ab und liefert die CrownX-Ransomware aus.
CrownX verschlüsselt Dateien, löscht Schattenkopien und beschädigt Festplattenstrukturen. Die Analyse deutet auf KI-gestützte Entwicklung hin, die einen ausgefeilteren mehrstufigen Angriffsprozess ermöglicht.
MFA-Bypass: Phishing-as-a-Service im Aufwind
Die Bedrohungslage wird durch Plattformen wie ARToken verschärft, die Multi-Faktor-Authentifizierung umgehen. Das Tool nutzt Device-Code-Phishing gegen Microsoft-365-Konten: Opfer geben einen Code auf einer legitimen Microsoft-Seite ein, woraufhin Angreifer die Sitzung übernehmen.
Ihr Microsoft-365-MFA schützt nicht vor Device-Code-Phishing? Die Plattform ARToken umgeht ihn systematisch. Dieser Report zeigt, wie Sie solche Angriffe erkennen und abwehren – inklusive Tool-Übersicht. MFA-Bypass-Schutz jetzt sichern
Diese Technik umgeht herkömmliche MFA und ermöglicht dauerhaften Zugriff auf Mailboxen, SharePoint und OneDrive. Im März 2026 wurde das Toolkit gegen über 340 Organisationen eingesetzt. Cyberkriminelle zahlen eine Einrichtungsgebühr von 1.400 Euro plus 470 Euro monatlich.
Eine weitere Methode namens ConsentFix kapert Microsoft-365-Konten durch OAuth-Token-Diebstahl – ohne Passwort oder MFA. Diese Angriffe werden häufig über gesponserte Anzeigen auf Plattformen wie X verbreitet, wo Nutzer durch gefälschte Utility-Software zum Installieren von Infostealern wie Atomic Stealer verleitet werden.
