Embora essa atividade até agora não pareça ser a norma em todo o ecossistema de ransomware, as descobertas representam um aviso contundente.
“Definitivamente existem alguns grupos que estão utilizando a inteligência artificial para ajudar no desenvolvimento de ransomware e módulos de malware, mas pelo que o Recorded Future pode perceber, a maioria não está”, diz Allan Liska, um analista da empresa de segurança Recorded Future especializado em ransomware. “Onde vemos mais IA sendo usada amplamente é no acesso inicial.”
Separadamente, pesquisadores da empresa de cibersegurança ESET afirmaram ter descoberto o “primeiro ransomware conhecido com inteligência artificial”, chamado PromptLock. Os pesquisadores afirmam que o malware, que em grande parte roda localmente em uma máquina e utiliza um modelo de IA de código aberto da OpenAI, pode “gerar scripts Lua maliciosos na hora” e usá-los para inspecionar arquivos que os hackers possam estar visando, roubar dados e realizar criptografia. A ESET acredita que o código é um protótipo que aparentemente ainda não foi utilizado contra vítimas, mas os pesquisadores destacam que isso ilustra como os cibercriminosos estão começando a usar LLMs como parte de seus conjuntos de ferramentas.
“Implantar ransomware assistido por IA apresenta certos desafios, principalmente devido ao grande tamanho dos modelos de IA e seus altos requisitos computacionais. No entanto, é possível que os cibercriminosos encontrem maneiras de contornar essas limitações”, escreveram os pesquisadores de malware da ESET, Anton Cherepanov e Peter Strycek, que descobriram o novo ransomware, em um e-mail para a WIRED. “Quanto ao desenvolvimento, é quase certo que os atores maliciosos estejam explorando ativamente essa área, e é provável que vejamos mais tentativas de criar ameaças cada vez mais sofisticadas.”
Embora o PromptLock não tenha sido utilizado no mundo real, as descobertas da Anthropic ressaltam ainda mais a rapidez com que os cibercriminosos estão incorporando LLMs em suas operações e infraestrutura. A empresa de IA também identificou outro grupo de cibercriminosos, que rastreia como GTG-2002, utilizando o Claude Code para encontrar automaticamente alvos para atacar, obter acesso às redes das vítimas, desenvolver malware e então exfiltrar dados, analisar o que foi roubado e desenvolver uma nota de resgate.
No último mês, esse ataque impactou “pelo menos” 17 organizações do governo, saúde, serviços de emergência e instituições religiosas, diz a Anthropic, sem citar quais organizações foram afetadas. “A operação demonstra uma evolução preocupante no cibercrime assistido por IA”, escreveram os pesquisadores da Anthropic em seu relatório, “onde a IA atua tanto como consultora técnica quanto como operadora ativa, permitindo ataques que seriam mais difíceis e demorados para atores individuais executarem manualmente.”
