Saltar para o conteúdo principal
security-ransomwareTOFU

O ransomware com IA chegou: o que o JADEPUFFER significa para os seus dados

A Sysdig documentou o JADEPUFFER, avaliado como o primeiro ransomware agêntico de ponta a ponta - um agente de IA que entrou e destruiu uma base de dados de produção. O que fez de facto (um humano continuava envolvido) e como manter os seus dados recuperáveis.

Por Eric Gerard · Editor · Save My Disk3 min de leituraPhoto: Pexels

No final de junho de 2026, a empresa de segurança Sysdig documentou um ataque que avalia como o primeiro ransomware agêntico de ponta a ponta: uma operação chamada JADEPUFFER, conduzida por um grande modelo de linguagem que entrou numa rede, a percorreu e destruiu uma base de dados de produção - narrando os próprios passos pelo caminho. Foi manchete com razão, mas a versão honesta é mais útil do que a assustadora. Eis o que aconteceu de facto e o que significa para manter os seus dados recuperáveis.

O que o JADEPUFFER fez de facto

Segundo a equipa de investigação da Sysdig, o agente obteve acesso através de uma instância Langflow exposta à Internet, explorando uma vulnerabilidade conhecida (CVE-2025-3248). A partir daí conduziu uma campanha adaptativa e em grande parte automatizada: raciocinou sobre os alvos, recolheu e reutilizou credenciais, moveu-se lateralmente, estabeleceu persistência e por fim executou um guião de extorsão contra um servidor de base de dados de produção.

Dois detalhes destacam-se. O agente executou mais de 600 cargas distintas e intencionais em rápida sucessão. E quando uma falhou, diagnosticou o problema e reimplantou uma carga corrigida cerca de 31 segundos depois. Essa velocidade e adaptabilidade - não um exploit isolado engenhoso - é o que torna o caso notável.

A nuance honesta: não sem mãos

As manchetes diziam «conduzido por IA», e é justo, mas não foi sem humanos. A informação do caso nota que uma pessoa ainda montou e direcionou a operação: aprovisionou o servidor de comando e controlo e o servidor de preparação para os dados roubados, e escolheu a vítima. A IA fez o trabalho ao teclado; um humano apontou-a.

A verdadeira mudança é económica. Como resumiu um analista, o nível de competência para conduzir uma operação de ransomware completa acabou de cair para o custo de operar um agente. Ataques mais baratos e rápidos tendem a ser mais numerosos.

Módulos de servidor com LED de estado num centro de dados - o guião do JADEPUFFER visava um servidor de base de dados de produção.
Módulos de servidor com LED de estado num centro de dados - o guião do JADEPUFFER visava um servidor de base de dados de produção.

Porque isto importa para os seus dados

Não consegue ser mais esperto do que um agente adaptativo no momento, e não deve tentar. Os dois padrões a antecipar são a extorsão de bases de dados e servidores de produção (destruir ou roubar, depois exigir pagamento) e a velocidade - quando uma carga com falha é corrigida em meio minuto, resta muito pouco tempo para reagir manualmente. A defesa que sobrevive a ambos é a mesma que sempre funcionou: tornar os seus dados recuperáveis aconteça o que acontecer no sistema em produção.

Manter-se recuperável

Os fundamentos não mudam porque o atacante usa IA:

  • Guarde uma cópia offline. Siga a regra 3-2-1 e desligue pelo menos uma cópia após cada execução. Um disco desligado é imune a qualquer ransomware, agêntico ou não. Veja o nosso guia da estratégia de backup 3-2-1.
  • Use cópias versionadas. Os serviços na nuvem com histórico de versões guardam cópias anteriores à cifragem às quais pode voltar.
  • Aplique patches depressa. O JADEPUFFER usou uma CVE conhecida num serviço exposto. Atualizar cedo o software exposto fecha a porta por onde entrou.
  • Se já foi atingido: isole a máquina, não pague, identifique a variante gratuitamente e recupere originais apagados antes da cifragem. O nosso guia sobre o que fazer quando os ficheiros são cifrados por ransomware explica passo a passo.
Escolha editorial
4.5 / 5

Recupere ficheiros apagados antes da cifragem com o EaseUS

Fundada em 2004Garantia de 30 diasVersão gratuita de 2 GB
Ver a oferta

Conclusão

Um ransomware agêntico como o JADEPUFFER baixa o custo e aumenta a velocidade dos ataques, e merece atenção. Mas não muda os fundamentos da recuperação. Quem supera estes incidentes são aqueles cujos dados já eram recuperáveis antes do ataque: cópias offline, versionamento e restauros testados. Uma IA pode conduzir o ataque mais depressa; não consegue alcançar um disco que estava desligado. Construa essa resiliência agora, enquanto está calmo.

Escolha editorial
4.5 / 5

Faz cópia agora para travar o ransomware → EaseUS Todo Backup

Backups automáticos · clone de disco · cópia offline

Fundada em 2004Garantia de 30 diasVersão gratuita de 2 GB
Ver a oferta

Perguntas frequentes

O JADEPUFFER é o primeiro ransomware com IA?

A equipa de investigação da Sysdig avalia o JADEPUFFER como o primeiro caso documentado de ransomware agêntico de ponta a ponta, observado num ataque de finais de junho de 2026, em que um grande modelo de linguagem conduziu a operação. Convém precisão: «primeiro documentado» é a avaliação da Sysdig, e um humano continuava envolvido em montar o ataque e escolher o alvo.

O ataque foi totalmente autónomo, sem humanos?

Não. Segundo a informação do caso, uma pessoa ainda aprovisionou a infraestrutura - o servidor de comando e controlo e o servidor de preparação - e escolheu a vítima antes de direcionar o agente. A IA fez o trabalho ao teclado: raciocinar sobre alvos, reutilizar credenciais, mover-se lateralmente e destruir a base de dados. Por isso é «conduzido por IA», não «sem humanos».

O ransomware com IA muda como recupero os meus ficheiros?

Não. Os fundamentos da recuperação não mudam. Isole a máquina afetada, não pague, identifique a variante gratuitamente e recupere originais apagados antes da cifragem com software de recuperação ou a partir de cópias versionadas ou offline. Um agente de IA é mais rápido e barato de operar, mas a sua recuperação depende das suas cópias de segurança, não das ferramentas do atacante.

Como entrou o JADEPUFFER?

Através de uma instância Langflow exposta à Internet, explorando uma vulnerabilidade conhecida (CVE-2025-3248). É um padrão familiar: muitos incidentes de ransomware começam num serviço exposto para o qual já existia um patch. Aplicar rápido as atualizações a tudo o que é acessível pela Internet continua a ser uma das defesas mais valiosas.

Devo pagar se um ransomware conduzido por IA me atingir?

Não, a recomendação é a de sempre. O FBI, a CISA e a Europol desaconselham pagar: não garante a recuperação e financia o ataque seguinte. Esgote primeiro as opções gratuitas - identificação da variante, desencriptadores quando existem, cópias versionadas ou offline e software de recuperação para originais apagados antes da cifragem.