No final de junho de 2026, a empresa de segurança Sysdig documentou um ataque que avalia como o primeiro ransomware agêntico de ponta a ponta: uma operação chamada JADEPUFFER, conduzida por um grande modelo de linguagem que entrou numa rede, a percorreu e destruiu uma base de dados de produção - narrando os próprios passos pelo caminho. Foi manchete com razão, mas a versão honesta é mais útil do que a assustadora. Eis o que aconteceu de facto e o que significa para manter os seus dados recuperáveis.
O que o JADEPUFFER fez de facto
Segundo a equipa de investigação da Sysdig, o agente obteve acesso através de uma instância Langflow exposta à Internet, explorando uma vulnerabilidade conhecida (CVE-2025-3248). A partir daí conduziu uma campanha adaptativa e em grande parte automatizada: raciocinou sobre os alvos, recolheu e reutilizou credenciais, moveu-se lateralmente, estabeleceu persistência e por fim executou um guião de extorsão contra um servidor de base de dados de produção.
Dois detalhes destacam-se. O agente executou mais de 600 cargas distintas e intencionais em rápida sucessão. E quando uma falhou, diagnosticou o problema e reimplantou uma carga corrigida cerca de 31 segundos depois. Essa velocidade e adaptabilidade - não um exploit isolado engenhoso - é o que torna o caso notável.
A nuance honesta: não sem mãos
As manchetes diziam «conduzido por IA», e é justo, mas não foi sem humanos. A informação do caso nota que uma pessoa ainda montou e direcionou a operação: aprovisionou o servidor de comando e controlo e o servidor de preparação para os dados roubados, e escolheu a vítima. A IA fez o trabalho ao teclado; um humano apontou-a.
A verdadeira mudança é económica. Como resumiu um analista, o nível de competência para conduzir uma operação de ransomware completa acabou de cair para o custo de operar um agente. Ataques mais baratos e rápidos tendem a ser mais numerosos.

Porque isto importa para os seus dados
Não consegue ser mais esperto do que um agente adaptativo no momento, e não deve tentar. Os dois padrões a antecipar são a extorsão de bases de dados e servidores de produção (destruir ou roubar, depois exigir pagamento) e a velocidade - quando uma carga com falha é corrigida em meio minuto, resta muito pouco tempo para reagir manualmente. A defesa que sobrevive a ambos é a mesma que sempre funcionou: tornar os seus dados recuperáveis aconteça o que acontecer no sistema em produção.
Manter-se recuperável
Os fundamentos não mudam porque o atacante usa IA:
- Guarde uma cópia offline. Siga a regra 3-2-1 e desligue pelo menos uma cópia após cada execução. Um disco desligado é imune a qualquer ransomware, agêntico ou não. Veja o nosso guia da estratégia de backup 3-2-1.
- Use cópias versionadas. Os serviços na nuvem com histórico de versões guardam cópias anteriores à cifragem às quais pode voltar.
- Aplique patches depressa. O JADEPUFFER usou uma CVE conhecida num serviço exposto. Atualizar cedo o software exposto fecha a porta por onde entrou.
- Se já foi atingido: isole a máquina, não pague, identifique a variante gratuitamente e recupere originais apagados antes da cifragem. O nosso guia sobre o que fazer quando os ficheiros são cifrados por ransomware explica passo a passo.
Recupere ficheiros apagados antes da cifragem com o EaseUS
Conclusão
Um ransomware agêntico como o JADEPUFFER baixa o custo e aumenta a velocidade dos ataques, e merece atenção. Mas não muda os fundamentos da recuperação. Quem supera estes incidentes são aqueles cujos dados já eram recuperáveis antes do ataque: cópias offline, versionamento e restauros testados. Uma IA pode conduzir o ataque mais depressa; não consegue alcançar um disco que estava desligado. Construa essa resiliência agora, enquanto está calmo.
Faz cópia agora para travar o ransomware → EaseUS Todo Backup
Backups automáticos · clone de disco · cópia offline

