O Futuro do Cibercrime Já Bate à Porta
Esqueça os hackers de capuz em porões escuros digitando furiosamente. A nova face do cibercrime usa terno, gravata e, aparentemente, um crachá de inteligência artificial. Desde junho de 2025, uma nova plataforma de ransomware como serviço (RaaS) chamada Global Group está redefinindo o que significa extorsão digital. O grupo utiliza chatbots de IA para conduzir negociações de resgate 24 horas por dia, transformando o ataque em uma operação industrial e impessoal que já fez vítimas nos Estados Unidos, Reino Unido, Austrália e, sim, no Brasil.
A inovação, se é que podemos chamar assim, permite que os criminosos mantenham dezenas de negociações simultâneas sem intervenção humana. Segundo analistas da Picus Security, o sistema é capaz de analisar provas da invasão, iniciar as demandas de resgate e adaptar o tom da conversa para aplicar máxima pressão psicológica. Estamos falando de um negociador artificial que não dorme, não se cansa e foi programado para uma única coisa: fazer a vítima pagar.
O Chatbot Negociador: Diplomacia do Crime em Escala Industrial
Imagine um portal na deep web, acessível apenas via Tor, que funciona como uma espécie de embaixada do crime. Ao entrar, a vítima não encontra um interlocutor humano, mas um chatbot de IA treinado especificamente para a arte da extorsão. É nesse ambiente que o Global Group constrói sua ponte de comunicação com as empresas invadidas. A vítima pode fazer o upload de um arquivo criptografado para provar que o sistema realmente foi comprometido, e a IA imediatamente inicia o diálogo.
Essa abordagem é uma virada de jogo, pois remove a barreira do idioma e da habilidade de negociação dos operadores. Afiliados de qualquer lugar do mundo podem lançar ataques contra multinacionais, deixando a parte mais delicada para o robô. As conversas analisadas revelam táticas sofisticadas: contadores regressivos para criar urgência, ameaças de vazamento de dados e uma adaptação dinâmica do tom com base nas respostas humanas. Em um dos casos documentados pela Picus Security, a demanda chegou a 9,5 BTC (cerca de US$ 1 milhão na época) com um prazo de apenas 48 horas.
Ransomware as a Service: Um Ecossistema Crimininoso Interconectado
O modelo do Global Group funciona como um verdadeiro ecossistema de serviços criminosos. Eles não sujam as próprias mãos na invasão inicial; em vez disso, fornecem a infraestrutura completa para que outros, os chamados afiliados, executem os ataques. É a interoperabilidade do mal: uma plataforma central oferece as ferramentas, e os parceiros se conectam a ela para operar.
Para atrair os melhores "talentos" do submundo digital, o Global Group oferece um modelo de partilha de receita extremamente agressivo: 85% do valor do resgate fica com o afiliado, uma fatia consideravelmente maior que a média de 70-80% do mercado. A plataforma oferece um construtor de malware personalizável, permitindo que o afiliado configure o ataque nos mínimos detalhes, e o mais impressionante: o malware é compilável para diversas plataformas, incluindo Windows, Linux, ESXi, BSD e dispositivos NAS, mostrando uma preocupação clara com a capacidade de atacar diferentes tipos de infraestrutura.
Rebranding e Pontes Quebradas: A Origem do Global Group
Apesar da roupagem moderna e da propaganda de "indetectável por EDR", uma análise mais profunda revela que o Global Group não é tão novo assim. Evidências técnicas, conforme apontado pela Picus Security, mostram que o grupo é um rebranding de operações anteriores, como Mamona RIP e Black Lock, todas controladas por um mesmo ator com o pseudônimo "$$$".
A conexão foi descoberta graças a uma falha de segurança dos próprios criminosos. Um endpoint de API exposto revelou metadados do servidor de hospedagem, o provedor russo IpServer, e até mesmo credenciais de acesso. O grupo reutilizou códigos e infraestruturas, basicamente dando uma nova pintura a um carro velho e vendendo-o como um modelo do ano. O rebranding parece ser uma tentativa de fugir da má reputação do Black Lock, que teve seu site de vazamentos exposto por pesquisadores, quebrando a confiança dentro da comunidade hacker.
A Corrida Armamentista Digital: E Agora?
A chegada de IA às negociações de ransomware representa um novo capítulo na segurança digital. A automação remove gargalos humanos e permite uma escala de ataque sem precedentes. Para os profissionais de TI, o desafio é imenso. Sistemas de defesa agora precisam ser treinados para detectar padrões de comunicação que não são humanos, distinguindo um chatbot criminoso de um bot legítimo de atendimento ao cliente.
A conclusão é inevitável: estamos em uma corrida armamentista digital. Enquanto um lado desenvolve IA para atacar e extorquir com mais eficiência, o outro precisa criar uma IA defensiva, capaz de responder na mesma velocidade. O ataque a uma grande empresa brasileira de terceirização e gestão de facilities confirma que nenhuma organização está a salvo. A questão não é mais se a IA será usada em ciberataques, mas como as empresas se prepararão para dialogar — e se defender — de um adversário que é puro código.