JADEPUFFER, KI-gesteuerte

JADEPUFFER: Erste KI-gesteuerte Ransomware ohne menschlichen Bediener

03.07.2026 - 01:17:24 | boerse-global.de

Sicherheitsforscher dokumentieren erste vollständig KI-gesteuerte Ransomware. Parallel dazu erreicht die Datendiebstahl-Operation FortiBleed neue Dimensionen.

KI-Ransomware JADEPUFFER: Erste autonome Erpressungssoftware entdeckt
JADEPUFFER - Abstrakte digitale Darstellung eines neuronalen Netzes mit leuchtenden Linien, durchsetzt mit Vorhängeschloss-Symbolen und Binärcode, die KI-gesteuerte Ransomware symbolisieren. 03.07.2026 - Bild: über boerse-global.de

Sicherheitsforscher haben einen Meilenstein in der Cyberkriminalität identifiziert: JADEPUFFER gilt als erste dokumentierte „agentische" Ransomware, die vollständig auf Künstliche Intelligenz setzt.

Wenn KI zum Erpressungswerkzeug wird

Der entscheidende Unterschied zu herkömmlicher Erpressungssoftware: JADEPUFFER benötigt keinen menschlichen Bediener mehr. Das System nutzt Large Language Models (LLMs), um den gesamten Erpressungsprozess zu automatisieren – vom ersten Eindringen ins Netzwerk bis zur gezielten Zerstörung von Datenbanken.

Der Einbruch gelang über eine Sicherheitslücke (CVE-2025-3248) in der Open-Source-Plattform Langflow. Einmal im Netzwerk, zeigte die KI bemerkenswerte Anpassungsfähigkeit: In einem dokumentierten Fall korrigierte der Agent einen fehlgeschlagenen Login-Versuch innerhalb von 31 Sekunden, indem er seinen eigenen Code optimierte.

Die Maschine durchforstete systematisch Cloud- und API-Zugangsdaten, verschlüsselte 1.342 Nacos-Konfigurationseinträge und löschte ganze Datenbanktabellen, bevor sie ihre Lösegeldforderung hinterließ. Besonders alarmierend: Die Verschlüsselungsschlüssel wurden nicht gespeichert – eine Wiederherstellung ohne Bezahlung ist praktisch unmöglich.

Massenhafter Datenklau im großen Stil

Parallel zur KI-Entwicklung läuft eine der größten Datensammelaktionen der jüngeren Geschichte. Die als „FortiBleed" bekannte Operation ist seit Februar 2026 aktiv und hat bereits über 430.000 FortiGate-Firewalls in 150 Ländern ins Visier genommen. Die Tätergruppe, die etwa 20 Mitglieder umfassen soll, erbeutete mehr als 110 Millionen Zugangsdaten und löste mindestens zwölf folgenschwere Ransomware-Angriffe aus.

Ein weiterer strategischer Schulterschluss: Im März 2026 verbündete sich der Ransomware-as-a-Service-Anbieter Vect mit der Datendiebstahl-Gruppe TeamPCP. Gemeinsam attackierten sie weit verbreitete npm-Pakete wie Trivy, Checkmarx und LiteLLM. Die Folgen: über 1.000 kompromittierte SaaS-Umgebungen, 300 Gigabyte gestohlene Daten und eine halbe Million erbeutete Zugangsdaten.

Anzeige

Angesichts autonom agierender Ransomware müssen Unternehmen ihre Abwehrstrategien dringend an die neuen technologischen Realitäten anpassen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen durch neue KI-Entwicklungen jetzt auf Unternehmer zukommen. Neue KI-Gesetze und Cyberrisiken jetzt verstehen

Browser als Einfallstor

Die Angreifer entwickeln zudem völlig neue Einbruchsmethoden. Eine besonders raffinierte Technik kommt ganz ohne klassische Schadsoftware aus: Der „Browser-only"-Erpressungstrojaner operiert ausschließlich im Browser und nutzt die File System Access API. Ein Fake-Tool, das sich als KI-Bildverbesserer tarnt, trickst Nutzer aus – sie gewähren dem vermeintlich harmlosen Dienst Zugriff auf ihre Ordner. Der Rest geschieht automatisch, ohne dass je ein Programm auf der Festplatte landet.

Erst Anfang der Woche wurde zudem eine kritische Sicherheitslücke in NetScaler ADC und Gateway (CVE-2026-8451) bekannt. Der Fehler erlaubt unbefugten Zugriff auf Arbeitsspeicherdaten – und wurde bereits innerhalb von 24 Stunden nach der Veröffentlichung aktiv ausgenutzt.

Juni 2026: Rekordjagd der Erpresser

Die aktuellen Zahlen zeichnen ein düsteres Bild: Allein im Juni dokumentierten Sicherheitsforscher 102 Ransomware-Angriffe in 21 Ländern. Der Gesundheitssektor bleibt mit 30 Vorfällen das Hauptziel. Eine neue Gruppe namens „2019" sticht besonders hervor – sie verzeichnete mit zwölf erfolgreichen Attacken die höchste Aktivität.

Anzeige

Da immer mehr Unternehmen Opfer von hochkomplexen Cyberangriffen werden, ist proaktive Prävention wichtiger denn je. Experten erklären in diesem kostenlosen E-Book, wie Sie Sicherheitslücken schließen und Ihre Firma ohne teure Investitionen wirksam absichern. Kostenloses E-Book zur Cyber-Security herunterladen

Zu den prominentesten Opfern der vergangenen Wochen zählen ein Datendiebstahl beim Filmfestival MIFF (26.700 betroffene Kunden), der 180-Gigabyte-Datenklau bei IKEA sowie ein schwerwiegender Angriff auf das UN World Food Programme, der 600.000 Haushalte im Gazastreifen traf.

Branchenkenner beobachten mit Sorge, dass Gruppen wie Anubis und The Gentlemen RaaS zunehmend auf BYOVD-Taktiken (Bring Your Own Vulnerable Driver) setzen – sie nutzen manipulierte Treiber, um Sicherheitssoftware von Microsoft, ESET und Palo Alto Networks auszuschalten.

de | wissenschaft | 69677489 |