--- title: "O futuro do cibercrime chegou: Ransomware com IA já negocia resgates e ataca empresas no Brasil" author: "Gustavo Ramos O. Klein" date: "2025-08-06 17:43:00-03" category: "Segurança & Privacidade" url: "http://desbugados.scale.press/portal/desbugados/post/2025/08/06/o-futuro-do-cibercrime-chegou-ransomware-com-ia-ja-negocia-resgates-e-ataca-empresas-no-brasil/md" --- # O Futuro do Cibercrime Já Bate à Porta Esqueça os hackers de capuz em porões escuros digitando furiosamente. A nova face do cibercrime usa terno, gravata e, aparentemente, um crachá de inteligência artificial. Desde junho de 2025, uma nova plataforma de ransomware como serviço (RaaS) chamada **Global Group** está redefinindo o que significa extorsão digital. O grupo utiliza chatbots de IA para conduzir negociações de resgate 24 horas por dia, transformando o ataque em uma operação industrial e impessoal que já fez vítimas nos Estados Unidos, Reino Unido, Austrália e, sim, no Brasil. A inovação, se é que podemos chamar assim, permite que os criminosos mantenham dezenas de negociações simultâneas sem intervenção humana. Segundo analistas da **Picus Security**, o sistema é capaz de analisar provas da invasão, iniciar as demandas de resgate e adaptar o tom da conversa para aplicar máxima pressão psicológica. Estamos falando de um negociador artificial que não dorme, não se cansa e foi programado para uma única coisa: fazer a vítima pagar. ## O Chatbot Negociador: Diplomacia do Crime em Escala Industrial Imagine um portal na deep web, acessível apenas via Tor, que funciona como uma espécie de embaixada do crime. Ao entrar, a vítima não encontra um interlocutor humano, mas um chatbot de IA treinado especificamente para a arte da extorsão. É nesse ambiente que o Global Group constrói sua ponte de comunicação com as empresas invadidas. A vítima pode fazer o upload de um arquivo criptografado para provar que o sistema realmente foi comprometido, e a IA imediatamente inicia o diálogo. Essa abordagem é uma virada de jogo, pois remove a barreira do idioma e da habilidade de negociação dos operadores. Afiliados de qualquer lugar do mundo podem lançar ataques contra multinacionais, deixando a parte mais delicada para o robô. As conversas analisadas revelam táticas sofisticadas: contadores regressivos para criar urgência, ameaças de vazamento de dados e uma adaptação dinâmica do tom com base nas respostas humanas. Em um dos casos documentados pela Picus Security, a demanda chegou a **9,5 BTC (cerca de US$ 1 milhão na época)** com um prazo de apenas 48 horas. ## Ransomware as a Service: Um Ecossistema Crimininoso Interconectado O modelo do Global Group funciona como um verdadeiro ecossistema de serviços criminosos. Eles não sujam as próprias mãos na invasão inicial; em vez disso, fornecem a infraestrutura completa para que outros, os chamados afiliados, executem os ataques. É a interoperabilidade do mal: uma plataforma central oferece as ferramentas, e os parceiros se conectam a ela para operar. Para atrair os melhores "talentos" do submundo digital, o Global Group oferece um modelo de partilha de receita extremamente agressivo: **85% do valor do resgate fica com o afiliado**, uma fatia consideravelmente maior que a média de 70-80% do mercado. A plataforma oferece um construtor de malware personalizável, permitindo que o afiliado configure o ataque nos mínimos detalhes, e o mais impressionante: o malware é compilável para diversas plataformas, incluindo Windows, Linux, ESXi, BSD e dispositivos NAS, mostrando uma preocupação clara com a capacidade de atacar diferentes tipos de infraestrutura. ## Rebranding e Pontes Quebradas: A Origem do Global Group Apesar da roupagem moderna e da propaganda de "indetectável por EDR", uma análise mais profunda revela que o Global Group não é tão novo assim. Evidências técnicas, conforme apontado pela Picus Security, mostram que o grupo é um rebranding de operações anteriores, como **Mamona RIP** e **Black Lock**, todas controladas por um mesmo ator com o pseudônimo "$$$". A conexão foi descoberta graças a uma falha de segurança dos próprios criminosos. Um endpoint de API exposto revelou metadados do servidor de hospedagem, o provedor russo IpServer, e até mesmo credenciais de acesso. O grupo reutilizou códigos e infraestruturas, basicamente dando uma nova pintura a um carro velho e vendendo-o como um modelo do ano. O rebranding parece ser uma tentativa de fugir da má reputação do Black Lock, que teve seu site de vazamentos exposto por pesquisadores, quebrando a confiança dentro da comunidade hacker. ## A Corrida Armamentista Digital: E Agora? A chegada de IA às negociações de ransomware representa um novo capítulo na segurança digital. A automação remove gargalos humanos e permite uma escala de ataque sem precedentes. Para os profissionais de TI, o desafio é imenso. Sistemas de defesa agora precisam ser treinados para detectar padrões de comunicação que não são humanos, distinguindo um chatbot criminoso de um bot legítimo de atendimento ao cliente. A conclusão é inevitável: estamos em uma corrida armamentista digital. Enquanto um lado desenvolve IA para atacar e extorquir com mais eficiência, o outro precisa criar uma IA defensiva, capaz de responder na mesma velocidade. O ataque a uma grande empresa brasileira de terceirização e gestão de facilities confirma que nenhuma organização está a salvo. A questão não é mais se a IA será usada em ciberataques, mas como as empresas se prepararão para dialogar — e se defender — de um adversário que é puro código.