Pesquisar

IA e Crime Digital: A Nova Era do Cibercrime

A inteligência artificial está revolucionando o mundo do cibercrime (Crime-as-a-Service) de forma alarmante. Nesse artigo do blog Dolutech, vamos explorar como a IA se tornou a principal arma dos criminosos digitais e o que isso significa para a segurança cibernética em 2025.

A Transformação do Cibercrime com Inteligência Artificial

O cenário de ameaças cibernéticas mudou drasticamente nos últimos anos. O que antes exigia conhecimento técnico avançado e recursos significativos, hoje pode ser executado por qualquer pessoa com acesso à internet e alguns dólares. Segundo a NTT DATA, a profissionalização de grupos de ransomware e a utilização de IA ofensiva estão tornando o cenário de risco mais opaco e imprevisível.

Os números são assustadores. Estimativas da Cybersecurity Ventures indicam que o custo global do cibercrime chegou a US$ 10,5 trilhões anuais em 2025 e pode atingir entre US$ 12 e US$ 15 trilhões até o final do ano. Para termos uma dimensão real: se o cibercrime fosse um país, seria a terceira maior economia do mundo.

O Impacto Explosivo da IA Generativa

A introdução de ferramentas como ChatGPT marcou um ponto de inflexão no cibercrime. O número de golpes envolvendo IA deve continuar crescendo ao longo de 2025, com ataques de phishing personalizados e malwares adaptativos que podem se camuflar em tempo real.

A democratização dessas tecnologias é preocupante. Pesquisas da IBM Security demonstraram que enquanto especialistas humanos levavam 16 horas para construir uma campanha sofisticada de phishing, modelos de IA conseguem completar a mesma tarefa em apenas 5 minutos. Esta eficiência explosiva permite que atacantes criem campanhas polimórficas em uma escala anteriormente inimaginável.

Crime-as-a-Service: A Industrialização do Ataque

O Modelo de Negócio do Cibercrime

O Crime-as-a-Service (CaaS) agora representa 57% de todas as ciberameaças, marcando um aumento de 17% em relação ao primeiro semestre de 2024. Este modelo transformou completamente o ecossistema criminoso digital, permitindo que indivíduos sem conhecimentos técnicos lancem ataques sofisticados.

A Dolutech identificou que o CaaS opera através de uma divisão sofisticada de trabalho que maximiza a eficiência e minimiza o risco individual. Os Initial Access Brokers (IABs), intermediários especializados na venda de acessos a redes corporativas, ampliaram sua oferta em 15%, servindo como a primeira fase de operações de ransomware, que por sua vez cresceram 32%.

A Estrutura do Crime Digital Profissionalizado

O ecossistema do CaaS é composto por diferentes atores especializados:

Desenvolvedores de Ransomware: No topo da hierarquia encontram-se grupos centrais que desenvolvem e mantêm software de ransomware, criando ferramentas de encriptação, portais de pagamento e sistemas de comunicação com vítimas.

Afiliados: São os “clientes” que adquirem ou licenciam acesso às ferramentas. A divisão dos lucros varia conforme o ranking do afiliado, podendo receber de 20-40% no nível de entrada até 80% dos lucros em rankings mais elevados.

Initial Access Brokers: Estes especialistas focam-se exclusivamente em comprometer redes e vender esse acesso a afiliados. O preço destes serviços varia amplamente com base na dimensão, indústria e receita da organização alvo.

Ransomware-as-a-Service: A Ameaça Dominante

A Evolução do RaaS em 2025

Uma nova plataforma de ransomware como serviço chamada Global Group está usando chatbots de IA para automatizar negociações de resgate 24 horas por dia, já tendo atingido 17 organizações globalmente, incluindo uma grande empresa no Brasil.

Os ataques de ransomware entraram numa nova fase de sofisticação no segundo trimestre de 2025, impulsionados pela inteligência artificial e por modelos de operação descentralizados. A estrutura dos grupos está evoluindo de um modelo centralizado para um formato de cartel, mais resiliente e difícil de neutralizar.

Grupos de Ransomware Dominantes

Os principais players do mercado em 2025 incluem:

RansomHub: Liderou 2024 com 736 vítimas divulgadas, o número mais alto entre todos os grupos. No entanto, sua infraestrutura desconectou-se abruptamente em abril de 2025 após relatórios ligarem o grupo à empresa sancionada Evil Corp.

Akira: Mantém 14% de participação no mercado, sendo um dos jogadores mais veteranos no campo com uma posição de força enraizada na experiência.

LockBit: Apesar de ter dominado o cenário por anos, sofreu seu golpe final em maio de 2025, quando sua infraestrutura interna foi hackeada e seus dados vazaram.

Táticas de Extorsão Múltipla

A evolução tática mais significativa no ransomware moderno é a transição para extorsão dupla e tripla:

Extorsão Dupla: Grupos exigem um resgate adicional em troca de não divulgar dados que haviam exfiltrado. A Arctic Wolf constatou que em 96% dos casos de resposta a incidentes de ransomware, o atacante também exfiltrou dados.

Extorsão Tripla: Ocorre quando os atores de ameaça adicionam outro incentivo, como contactar indivíduos cujos dados foram exfiltrados, encriptar mais do ambiente da organização, lançar ataques DDoS secundários, ou atacar organizações ligadas à vítima original.

Deepfakes e Clonagem de Voz: A Nova Arma

A Escala da Ameaça

Entre abril de 2024 e março de 2025, golpes de personificação aumentaram 148%, incluindo sites falsos, chatbots realistas e chamadas telefônicas com vozes clonadas. Este crescimento explosivo representa uma mudança fundamental na engenharia social.

Mais de 50% das fraudes em 2025 envolvem o uso de inteligência artificial, com 44% dos profissionais financeiros relatando que deepfakes são usados em esquemas fraudulentos.

Como Funciona a Clonagem de Voz

A tecnologia de clonagem de voz utiliza codificadores automáticos, um tipo de rede neural. São necessárias duas gravações de áudio, sendo a segunda convertida na primeira. Enquanto o criminoso fala, o programa codifica a mensagem e converte o conteúdo na voz da primeira pessoa.

A Acronis identificou que cerca de 25% dos ataques em aplicativos de colaboração, como Microsoft Teams e Slack, já envolvem deepfakes ou outras manipulações criadas por IA.

Casos Reais de Alto Impacto

Um caso emblemático ocorreu em Hong Kong em 2024, onde uma empresa perdeu mais de 25 milhões de dólares quando um trabalhador financeiro foi manipulado a transferir fundos durante uma videochamada povoada inteiramente por deepfakes de executivos da empresa.

LLMs Maliciosos: FraudGPT e WormGPT

A resposta dos cibercriminosos às limitações das ferramentas de IA comerciais foi o desenvolvimento de Large Language Models não censurados, especificamente concebidos para atividades ilícitas.

FraudGPT: Comercializado na dark web e através do Telegram, oferece capacidades para gerar código malicioso, conceber websites de phishing e desenvolver malware não detectável. O criador promove abertamente suas capacidades criminais, oferecendo desde a criação de documentos fraudulentos até esquemas de fraude de email empresarial.

WormGPT: Baseado na arquitetura GPT-J, é especializado na construção de emails de phishing convincentes e na elaboração de malware para conduzir esquemas de “business email compromise”.

Estes modelos maliciosos são disponibilizados através de modelos de subscrição que imitam serviços SaaS legítimos, com planos que começam em apenas 100 dólares, incluindo suporte técnico.

IA Autônoma: O Futuro Iminente

Agentes de IA Ofensivos

A IA generativa está dando lugar à “IA autônoma” – inteligência artificial que pode assumir tarefas inteiras e agir de forma independente sem supervisão humana. Pesquisas da Unit 42 revelaram como os criminosos estão começando a usar agentes autônomos capazes de tomar decisões.

ReaperAI: Criado em 2024, é um agente de cibersegurança ofensiva totalmente autônomo que demonstrou o potencial para programas muito eficazes e perigosos serem desenvolvidos com pouco esforço.

AutoAttacker: É um agente de IA que pode executar as táticas usadas por gangues de ransomware, transformando ataques de “eventos raros liderados por especialistas” em “operações automatizadas frequentes”.

Hexstrike-AI: Com mais de 150 agentes de IA, pode explorar falhas em appliances em menos de 10 minutos, encadeando vulnerabilidades que levariam dias para humanos.

Vulnerabilidades Zero-Day e Exploração Acelerada

No primeiro semestre de 2025, as explorações zero-day aumentaram 46% em comparação com o primeiro semestre de 2024. Foram publicados mais de 23.583 CVEs, com uma média de 130 por dia, sendo que quase 30% destas foram exploradas dentro de 24 horas após a divulgação.

O mais alarmante é a janela em colapso do “Tempo de Exploração”. Em 2024, esta janela encolheu para uma média de apenas cinco dias, abaixo dos 32 dias em anos anteriores. Esta aceleração torna os ciclos tradicionais de gestão mensal de patches perigosamente obsoletos.

Defesa Inteligente: O Papel da IA na Cibersegurança

O Dilema da Força de Trabalho

Nós reconhecemos que a indústria de cibersegurança enfrenta uma crise de burnout e escassez de talentos. Existem atualmente 4,8 milhões de posições de cibersegurança não preenchidas globalmente, com um aumento de 19% ano a ano na lacuna de força de trabalho.

Detecção e Resposta Automatizadas

90% das instituições financeiras estão combatendo fraudes emergentes com soluções alimentadas por IA para proteger os consumidores e neutralizar ameaças crescentes.

A deteção e resposta automatizadas de ameaças utilizam sistemas de segurança avançados com componentes principais:

Recolha e Monitorização de Dados: Observação contínua do tráfego de rede, atividades de utilizadores, dispositivos endpoint e registos de aplicações.

Deteção de Ameaças Usando IA e ML: Algoritmos treinados detetam ameaças de segurança conhecidas, bem como vulnerabilidades zero-day anteriormente não descobertas.

Aprendizagem Adaptativa: Permite que modelos de IA evoluam continuamente, refinando constantemente suas capacidades de deteção.

Resposta Automatizada: O sistema reage a diferentes tipos de ameaças executando sequências de ação estabelecidas, como segregação de dispositivos, bloqueio de endereços maliciosos e reversão de alterações de malware.

Soluções EDR e XDR

EDR (Endpoint Detection and Response): Plataformas focadas em monitorar continuamente dispositivos de utilizadores finais para detectar ameaças e coordenar respostas eficazmente.

XDR (Extended Detection and Response): Vai mais além ao integrar e correlacionar dados de múltiplas camadas de segurança, incluindo emails, endpoints, servidores, redes e cargas de trabalho em nuvem.

Mitigação e Boas Práticas

Para organizações que buscam se proteger contra essa nova onda de ameaças, a Dolutech recomenda:

Medidas Técnicas

  1. Implementar autenticação multifator (MFA) em todos os pontos de acesso críticos
  2. Manter backups confiáveis seguindo a regra 3-2-1 (3 cópias, 2 tipos de mídia, 1 offsite)
  3. Automatizar patching para garantir que sistemas estejam sempre atualizados
  4. Segmentar redes para proteger sistemas críticos
  5. Deploy de soluções EDR/XDR para visibilidade abrangente

Medidas Organizacionais

  1. Treinar funcionários regularmente sobre técnicas de engenharia social
  2. Criar planos de resposta a incidentes detalhados
  3. Realizar tabletop exercises para testar preparação
  4. Investir em threat intelligence para antecipar ameaças
  5. Estabelecer protocolos de verificação para solicitações sensíveis

Exemplo Prático: Protocolo Anti-Deepfake

Implemente um protocolo de verificação em duas etapas para solicitações financeiras:

1. Solicitação recebida via vídeo/áudio
   ↓
2. Confirmar através de canal alternativo oficial
   ↓
3. Fazer pergunta pessoal que apenas a pessoa real saberia
   ↓
4. Exigir aprovação secundária para valores acima de threshold
   ↓
5. Documentar todas as etapas para auditoria

O Contexto Brasileiro

O Brasil é um dos alvos mais frequentes de ataques de deepfake e ransomware na América Latina. Em 2024, o Brasil concentrou 47% dos ataques da região, superando México (23%) e Colômbia (8%).

Fatores que tornam o país mais vulnerável incluem a popularidade do Pix, grande número de usuários de internet e smartphones, e hábitos de download de conteúdos piratas. Isso exige que empresas brasileiras adotem postura ainda mais rigorosa em cibersegurança.

O Contexto Português

Portugal enfrenta um cenário igualmente preocupante em termos de cibersegurança. Segundo o Centro Nacional de Cibersegurança (CNCS), os ciberataques em Portugal aumentaram mais de 716% entre 2015 e o final de 2023, um crescimento exponencial que coloca o país no radar dos cibercriminosos.

Números Alarmantes

Em agosto de 2025, Portugal surgiu como o 3º país europeu mais atacado, com uma média de 2.061 ataques semanais, ficando apenas atrás da Itália (2.221) e da República Checa (2.180). Na Península Ibérica, registou-se uma média de 1.730 ciberataques semanais por empresa.

A Dolutech identificou que 60% das empresas portuguesas foram alvo de pelo menos um incidente de segurança cibernética nos últimos dois anos. O crescimento de 12% nos crimes digitais em 2024 demonstra a intensificação das ameaças no ciberespaço nacional.

Setores Mais Vulneráveis

Os setores que enfrentaram maior volume de ameaças em Portugal foram:

Telecomunicações: Lidera como o setor mais atacado, com um crescimento explosivo nas ameaças devido à importância como infraestrutura crítica e à crescente dependência tecnológica do setor.

Educação e Investigação: Continua a ser alvo preferencial, com universidades enfrentando campanhas de phishing e ransomware que interrompem serviços e comprometem informações sensíveis de estudantes e professores.

Saúde: Hospitais e instituições de saúde são alvos prioritários para ransomware, devido à alta probabilidade de sucesso dos ataques, já que sistemas de saúde não podem permanecer indisponíveis.

Administração Pública e Defesa: A administração pública local sofreu ataques com maior impacto, com casos notáveis incluindo o ataque à AMA (Agência para a Modernização Administrativa) em janeiro de 2024 e o comprometimento dos sistemas do Ministério da Justiça em maio.

Principais Ameaças

Ransomware: Continua como a ciberameaça mais relevante, com 3,5% das organizações na Península Ibérica sendo afetadas semanalmente. Grupos como o Qilin são responsáveis por 16% dos ataques reportados, utilizando o modelo Ransomware-as-a-Service (RaaS).

Infostealers: O malware Agent Tesla foi responsável por um terço de todas as infecções identificadas em 2024, roubando credenciais que depois são vendidas em fóruns clandestinos.

Ataques DDoS: Com impacto elevado, as interrupções de serviço mais relevantes duraram, em média, 8 horas em 2024.

Phishing e Smishing: Representaram 35% do total de incidentes registados pelo CERT.PT em 2023, com 85% dos ficheiros maliciosos sendo entregues por correio eletrónico.

Impacto Financeiro e Económico

O impacto financeiro do cibercrime em Portugal traduz-se em centenas de milhões de euros anuais em custos de reparação, perda de dados, interrupções operacionais e resgates pagos. Segundo o diretor dos Serviços de Informações de Segurança (SIS), há ataques provenientes de atores estatais que têm por objetivo a soberania de Portugal e a recolha de informação confidencial.

Estima-se que o mercado de cibersegurança em Portugal deverá crescer cerca de 15% ao ano nos próximos cinco anos, com empresas a implementarem soluções avançadas para minimizar riscos.

Desafios Regulatórios: NIS2 e DORA

A transposição da Diretiva NIS2 para a legislação nacional marca um novo capítulo para a cibersegurança em Portugal. Esta mudança ampliará significativamente o leque de setores obrigados a adotar medidas rigorosas de segurança.

NIS2: Impõe requisitos rigorosos de segurança cibernética e gestão de riscos, incluindo a proteção da cadeia de fornecimento e a resposta a incidentes.

DORA: Foca-se na resiliência operacional digital, cobrindo a segurança de TI, a recuperação de incidentes e monitorização contínua dos riscos, incluindo os de terceiros.

Hacktivismo e Ameaças Geopolíticas

O relatório do CNCS destaca o aumento da atividade de grupos hacktivistas com motivações políticas e ideológicas. Ataques de defacement (alteração de páginas online) com motivações políticas foram registados em equipamentos industriais, intensificando a pressão sobre infraestruturas críticas.

Portugal como Fonte de Ataques

Um aspecto preocupante revelado é que Portugal pode estar no grupo dos países que mais atacam, devido à baixa cultura de cibersegurança, especialmente em pequenas e médias empresas. Muitas destas organizações estão involuntariamente integradas em botnets, tornando o país um contribuinte significativo para redes globais de ataque.

Conclusão: Navegando o Futuro Digital

O cenário de cibersegurança em 2025 apresenta desafios sem precedentes que exigem uma reavaliação fundamental das estratégias de defesa. A convergência da IA generativa com modelos criminosos profissionalizados criou um ambiente onde a questão não é mais se um ataque ocorrerá, mas quando, como e com que impacto.

Segundo a NTT DATA, não se trata mais de saber quem irá atacar, mas sim quando, como e com que propósito. A proteção não pode mais ser reativa. É preciso adotar uma postura de inteligência proativa, detecção precoce e colaboração internacional.

A defesa eficaz exige uma abordagem multifacetada: investimento em tecnologias de deteção e resposta automatizadas impulsionadas por IA, fortalecimento da força de trabalho através da redução do burnout, implementação de soluções EDR/XDR para visibilidade abrangente, e desenvolvimento de capacidades de resposta rápida.

Nós, aqui na Dolutech, acreditamos que organizações que não se adaptarem a essa nova dinâmica enfrentam não apenas perdas financeiras, mas riscos existenciais à sua continuidade operacional. A cibersegurança em 2025 não é apenas uma preocupação de TI – é uma questão estratégica de negócio, segurança nacional e, em alguns setores, literalmente uma questão de vida ou morte.

Conheça nosso Canal do Youtube
Escute Nosso DoluCast
Melhores da Semana