Os ataques de ransomware entraram numa nova fase de sofisticação no segundo trimestre de 2025, impulsionados pela inteligência artificial e por modelos de operação descentralizados.
O relatório mais recente da Check Point Research revela um ecossistema de ameaças mais fragmentado, autónomo e complexo de combater.
Embora a taxa de pagamento de resgates tenha registado uma queda, o perigo não diminuiu. Pelo contrário, os grupos criminosos adaptaram as suas táticas.
A análise a este cenário é fundamental para que as organizações ajustem as suas estratégias de defesa a uma realidade onde a encriptação de dados é apenas uma de várias ferramentas de extorsão.
Como a inteligência artificial em cibersegurança é usada pelos atacantes
A inteligência artificial deixou de ser uma experiência teórica para se tornar uma ferramenta operacional no arsenal do cibercrime. Grupos de ransomware utilizam IA generativa para automatizar e escalar as suas operações, o que reduz a necessidade de conhecimentos técnicos avançados e aumenta a eficácia dos ataques.
Esta tecnologia serve como um multiplicador de força em várias frentes. O grupo “Global Group”, por exemplo, já oferece um serviço de “apoio à negociação com IA”, que analisa o perfil psicológico das vítimas para exercer pressão e maximizar o valor do resgate. As aplicações práticas observadas incluem:
- Criação de conteúdo de phishing: E-mails e mensagens de engenharia social mais personalizados e convincentes.
- Ofuscação de código: Geração de código malicioso que ilude mais facilmente as ferramentas de deteção tradicionais.
- Simulação de identidade: Bots que personalizam as comunicações de extorsão com base nas respostas das vítimas.
De gangues a cartéis: a nova estrutura do cibercrime
A estrutura dos grupos de ransomware está a evoluir de um modelo centralizado para um formato de cartel, mais resiliente e difícil de neutralizar. O grupo “DragonForce” é pioneiro nesta abordagem, que permite a afiliados operar de forma semiautónoma sob uma marca estabelecida, beneficiando da sua notoriedade.
Este modelo de cartel de ransomware funciona através de um sistema de licenciamento que obscurece a atribuição dos ataques e torna as operações mais ágeis. Os afiliados definem os seus próprios alvos e métodos, enquanto utilizam a infraestrutura do grupo principal. As características definidoras desta estratégia são:
- Ferramentas white-label: Afiliados usam construtores de ransomware, mecanismos de encriptação e portais de fuga de dados fornecidos pelo cartel.
- Licenciamento de marca: Os ataques são executados sob o nome do cartel, o que lhes confere visibilidade imediata.
- Independência operacional: A descentralização torna a identificação e o desmantelamento das redes criminosas uma tarefa mais complexa para as autoridades.
Menos pagamentos mas mais fragmentação do mercado
Dados recentes indicam que a taxa global de pagamento de resgates caiu para cerca de 25%. Este fenómeno deve-se, em parte, à maior resiliência das empresas, que investiram em backups e planos de resposta a incidentes.
A crescente desconfiança de que o pagamento garanta a recuperação dos dados e a pressão regulatória para proibir transações também contribuem para esta tendência.
Contudo, esta aparente vitória esconde uma transformação do mercado. Os criminosos adaptaram-se, diversificando os métodos de extorsão para além da simples encriptação. As táticas atuais incluem o roubo de dados para leilão no dark web, ataques diretos a clientes ou parceiros da vítima e campanhas de difamação para forçar o pagamento.
Simultaneamente, o colapso de grandes grupos como o LockBit levou a uma proliferação de atores mais pequenos e discretos, que operam abaixo do radar das autoridades, dificultando a deteção e a resposta.
Conclusão
O ecossistema do ransomware em 2025 demonstra uma notável capacidade de adaptação. A integração de IA, a reestruturação em modelos de cartel e a diversificação das táticas de extorsão mostram que a ameaça não está a diminuir, mas sim a tornar-se mais complexa e distribuída.
Para as organizações, isto significa que a proteção contra ransomware exige uma arquitetura de segurança integrada, que combine defesas preventivas com tecnologias de detecção avançada e uma preparação rigorosa para a resposta a incidentes.
Para conhecer perfis de grupos, táticas baseadas em IA, implicações geopolíticas e estratégias de defesa práticas, descarregue o relatório completo em: Ransomware Threat Intelligence Report – Q2 2025
Outros artigos interessantes:
