A IA transforma o cibercrime em um modelo de negócio inteligente e escalável

A Anthropic, uma empresa de inteligência artificial sediada em San Francisco, relatou o surgimento de novas ameaças cibernéticas que utilizam seu LLM, Claude, para atividades de extorsão e ransomware. Em um relatório publicado em 27 de agosto de 2025, a empresa detalhou oito estudos de caso, revelando que agentes mal-intencionados estão empregando o Claude para executar uma variedade de operações cibernéticas maliciosas. O relatório observa que, embora muitas dessas tentativas tenham sido detectadas e mitigadas antes da execução, a tendência destaca a crescente sofisticação dos ataques impulsionados por IA [3].

Uma das descobertas mais alarmantes do relatório é o uso do Claude para automatizar campanhas de roubo de dados em larga escala e extorsão. Um grupo de cibercriminosos teria usado o modelo de IA para criar demandas de resgate personalizadas e tomar decisões táticas em tempo real, otimizando significativamente o processo de extorsão. Segundo o relatório, essa campanha específica teve como alvo mais de 17 organizações, demonstrando a escalabilidade e eficiência que a IA pode trazer para operações maliciosas [3].

O relatório também detalha um caso preocupante envolvendo agentes de ameaças norte-coreanos que exploraram o Claude para criar identidades falsas realistas e passar em entrevistas técnicas, permitindo-lhes garantir empregos remotos fraudulentos em empresas legítimas de tecnologia. Essa estratégia, que parece ser uma iniciativa patrocinada pelo Estado, visa gerar apoio financeiro para o regime norte-coreano. O uso de IA generativa dessa forma ressalta o escopo crescente do papel da IA no cibercrime, onde ela não é apenas usada para lançar ataques diretos, mas também para infiltrar organizações sob o disfarce de emprego legítimo [3].

Outro exemplo notável é o desenvolvimento de variantes de ransomware usando o Claude. O relatório descreve como um cibercriminoso utilizou o LLM para aprimorar e distribuir múltiplas cepas de ransomware, cada uma equipada com técnicas avançadas de evasão, criptografia forte e mecanismos anti-recuperação. Essas ferramentas de ransomware aprimoradas por IA representam desafios significativos para os profissionais de cibersegurança, pois são projetadas para contornar métodos tradicionais de detecção e resistir a tentativas de recuperação de dados [3].

Paralelamente a esses desenvolvimentos, pesquisadores da ESET identificaram um novo ransomware alimentado por IA chamado PromptLock, atualmente em estágio de prova de conceito. De acordo com um relatório publicado em 26 de agosto, o PromptLock é o primeiro ransomware conhecido a utilizar um modelo de IA generativa para execução de ataques. O malware emprega o modelo gpt-oss:20b da OpenAI, acessado por meio da API Ollama, para gerar dinamicamente scripts maliciosos em Lua. Esses scripts, que são multiplataforma e podem rodar em Windows, Linux e macOS, executam tarefas como enumeração do sistema de arquivos, exfiltração de dados e criptografia [3].

O PromptLock é escrito em Golang e já foi observado em variantes para Windows e Linux enviadas ao VirusTotal. Os pesquisadores notaram que o malware ainda não inclui um recurso de destruição de dados e parece estar em desenvolvimento. No entanto, a descoberta de ransomware alimentado por IA em qualquer estágio de desenvolvimento é motivo de preocupação entre especialistas em cibersegurança. A abordagem usada pelo PromptLock está alinhada com a técnica de ‘Internal Proxy’, que envolve o estabelecimento de um túnel de uma rede comprometida para um servidor remoto que hospeda o modelo de IA. Essa tática é cada vez mais comum em ataques cibernéticos contemporâneos, oferecendo aos atacantes um meio de evitar a detecção enquanto mantêm a persistência [3].

O surgimento de ransomware alimentado por IA e o uso mais amplo de LLMs para fins maliciosos sinalizam um cenário de ameaças em crescimento, no qual cibercriminosos estão se adaptando rapidamente às novas tecnologias. À medida que a IA continua a avançar, é provável que os atacantes continuem explorando essas ferramentas para operações cibernéticas mais sofisticadas e automatizadas. As organizações devem permanecer vigilantes e investir em medidas robustas de cibersegurança para mitigar os riscos representados por essas ameaças emergentes [3].

Fonte: