Cotação
0 items
quarta-feira, 6 de agosto de 2025
Futuro do cibercrime: ransomware com IA já negocia resgates
Uma nova plataforma de ransomware as a service chamada Global Group passou a utilizar chatbots de inteligência artificial para automatizar negociações de resgate com suas vítimas. O grupo, que opera desde junho de 2025, já comprometeu pelo menos 17 organizações nos Estados Unidos, Reino Unido, Austrália e Brasil, exigindo pagamentos que chegam a US$ 1 milhão através de sistemas automatizados que funcionam 24 horas por dia.
A integração de inteligência artificial no processo de extorsão marca uma grande transformação no cenário de ameaças digitais. Pela primeira vez, cibercriminosos conseguem manter múltiplas negociações simultâneas sem intervenção humana constante, aumentando a escala de suas operações. O sistema de IA analisa arquivos criptografados como prova de compromisso, verifica o sucesso da infecção e inicia automaticamente as demandas de resgate, adaptando linguagem, tom e frequência das mensagens com base no perfil de cada vítima para intensificar a pressão psicológica.
Essa automatização transforma o que antes era um processo manual e demorado em uma operação de escala industrial. Especialistas em segurança digital alertam que a inovação não apenas aumenta a eficiência dos criminosos, mas também cria novos desafios para organizações que agora precisam lidar com negociadores artificiais programados para maximizar a pressão psicológica e acelerar os pagamentos.
Negociador potencializado por IA
O Global Group desenvolveu um sistema de negociação automatizado que funciona através de um painel acessível na deep web via Tor no endereço gdbkvfe6g3whrzkdlbytksygk45zwgmnzh5i2xmqyo3mrpipysjagqyd[.]onion. Quando uma vítima acessa o portal, é recebida por um chatbot de IA especificamente treinado para conduzir extorsões, capaz de verificar o comprometimento através do upload de arquivos criptografados e iniciar imediatamente as negociações de resgate.
O sistema é eficaz para operadores que não dominam o inglês, permitindo que afiliados de diferentes nacionalidades conduzam negociações complexas com organizações de todo o mundo. Análises de conversas reais mostram que o chatbot aplica táticas psicológicas sofisticadas, incluindo contadores regressivos para aumentar a urgência, ameaças escalonadas de publicação de dados e ajuste dinâmico do tom das mensagens baseado nas respostas das vítimas.
O Global Group tem como alvos preferenciais organizações de alto valor nos setores de saúde, automotivo e industrial. Entre suas vítimas confirmadas estão provedores de saúde nos Estados Unidos e Austrália, uma empresa de fabricação de equipamentos para petróleo e gás no Texas, companhias de engenharia de precisão no Reino Unido e uma empresa brasileira de grande porte especializada em terceirização de processos de negócios e gestão de facilities.
A presença de uma vítima brasileira de grande escala demonstra que o grupo não limita suas operações geograficamente e possui capacidade de atingir mercados emergentes importantes.
O painel de negociações potencializado por IA é uma grande evolução na automação de cibercrimes. O sistema consegue manter dezenas de negociações simultâneas, cada uma personalizada conforme o perfil da vítima, aplicando diferentes níveis de pressão e estratégias de persuasão.
Transcripts de negociações analisadas pelos pesquisadores da Picus Security mostram demandas chegando a "9,5 BTC (US$ 1 milhão na época)" com prazos de apenas 48 horas, provando como a automação permite que os criminosos mantenham um ritmo agressivo de extorsão que seria impossível com operadores humanos.
Como funciona um Ransomware as a Service
O modelo Ransomware as a Service funciona como uma plataforma de negócios legítima, onde desenvolvedores de malware oferecem infraestrutura, ferramentas de criptografia e sistemas de gestão para afiliados que executam os ataques propriamente ditos. Essa divisão de trabalho permite que criminosos se especializem em diferentes aspectos da operação: alguns focam no desenvolvimento técnico, outros na obtenção de acesso inicial às redes corporativas e outros ainda na execução dos ataques e negociações.
O Global Group oferece aos seus afiliados um dos modelos de remuneração mais agressivos do mercado, distribuindo 85% dos valores arrecadados com resgates. Essa estratégia de divisão de receita superior à média da indústria criminosa - que tipicamente varia entre 70% e 80% - tem como objetivo atrair operadores experientes de outros grupos de ransomware.
A plataforma disponibiliza um construtor de ransomware personalizado que permite aos afiliados configurar parâmetros específicos como porcentagem de arquivos a serem criptografados, extensões customizadas para arquivos infectados e flags operacionais para autodestruição, eliminação de logs e terminação de processos de segurança.
O esquema de afiliados do Global Group é suportado por uma infraestrutura que inclui painéis de controle compatíveis com dispositivos móveis, permitindo que operadores gerenciem múltiplas campanhas através de seus celulares. O sistema suporta compilação de malware para múltiplas plataformas, incluindo Windows, Linux, ESXi, BSD e dispositivos NAS, oferecendo flexibilidade para atacar infraestruturas híbridas e ambientes virtualizados.
A operação se posiciona como "indetectável por EDR" e promove recursos de inteligência artificial como diferencial competitivo para atrair novos membros.
Global Group é herdeiro de outros grupos
Análises aprofundadas revelam que o Global Group não representa uma operação genuinamente nova, mas sim um rebranding estratégico de grupos predecessores. Evidências técnicas demonstram conexões diretas com as operações Mamona RIP e Black Lock, ambas controladas pelo mesmo ator identificado pelo pseudônimo "$$$". A continuidade entre essas operações fica evidente através da reutilização de elementos técnicos críticos, incluindo o mutex GlobalFxo16jmdgujs437, idêntico ao utilizado pelo ransomware Mamona RIP.
A herança infraestrutural é igualmente reveladora. O Global Group utiliza o mesmo provedor de VPS russo IpServer que hospedava as operações anteriores, com o site de vazamento de dados funcionando no IP 193.19.119[.]4. Essa conexão foi descoberta através de uma falha de segurança operacional na própria infraestrutura do grupo, quando um endpoint de API expôs metadados JSON contendo detalhes do ambiente de hospedagem real, incluindo credenciais SSH para o servidor dataleak@193.19.119.4:22.
A transformação de Black Lock para Global Group foi documentada através de mudanças no identificador qTOX do operador "$$$", que alterou seu nome de exibição de "Black Lock" para "Global Black Lock" em junho de 2025. Esse rebranding aparenta ser uma resposta a problemas reputacionais enfrentados pelo Black Lock, cujo site de vazamento de dados foi exposto por pesquisadores da Resecurity, resultando em danos à credibilidade da operação nas comunidades criminosas underground.
Apesar da aparente sofisticação dos sistemas de IA e da interface modernizada, análises técnicas revelam que o Global Group mantém vulnerabilidades e falhas de segurança conhecidas de suas operações predecessoras. A reutilização de código, infraestrutura e metodologias operacionais sugere que o grupo priorizou velocidade de lançamento e marketing sobre inovação técnica genuína, mascarando limitações através de recursos cosméticos como painéis mobile-friendly e automação de negociações.
Desafios para profissionais de TI
De qualquer forma, a integração de inteligência artificial em operações de ransomware é uma mudança paradigmática que força profissionais de segurança digital a repensar suas estratégias defensivas. A automação de negociações remove gargalos humanos que antes limitavam a escala de operações criminosas, permitindo que um único grupo mantenha dezenas de extorsões simultâneas com pressão psicológica consistente e personalizada para cada vítima.
O desafio mais imediato está na detecção de padrões de comunicação automatizados. Sistemas tradicionais de monitoramento focam em identificar comportamentos humanos suspeitos, mas chatbots de IA operam com padrões diferentes, mantendo conversas 24 horas por dia com múltiplas vítimas simultaneamente. Profissionais de segurança precisam desenvolver capacidades para identificar essas comunicações automatizadas e distingui-las de interações legítimas com sistemas de suporte ao cliente ou chatbots corporativos.
A preparação para esse cenário complexo exige uma abordagem que combine inteligência artificial defensiva com procedimentos operacionais atualizados. Organizações devem implementar sistemas de detecção comportamental para identificar atividades de criptografia em massa típicas do ransomware, independentemente da origem ou automação. Além disso, é preciso estabelecer protocolos de resposta a incidentes que contemplem negociações com sistemas automatizados, incluindo procedimentos para documentar interações com IAs criminosas e estratégias para ganhar tempo durante investigações forenses.
O cenário futuro aponta para uma corrida armamentista digital onde tanto atacantes quanto defensores utilizarão inteligência artificial de forma crescente. Profissionais de TI devem antecipar que grupos criminosos continuarão automatizando aspectos operacionais adicionais, desde seleção de alvos até customização de payloads, exigindo que equipes de segurança desenvolvam capacidades de resposta igualmente automatizadas e inteligentes para manter paridade na velocidade de detecção e mitigação de ameaças.
Fonte: CANALTECH
Voltar