Antes de atuar como vice-presidente sênior do Halcyon Ransomware Research Center, Cynthia Kaiser passou 20 anos no FBI, tornando-se vice-diretora assistente da divisão cibernética da agência.
Na conferência Europeia InfoSec deste ano no Excel em Londres, Kaiser fez um discurso sobre a natureza evolutiva do ransomware. A imagem que ela pinta sobre as capacidades atuais dos atores de ameaças na dark web é sombria.
ANTECEDENTES É agora bem sabido que, à medida que a conectividade tecnológica aumenta, há mais oportunidades do que nunca para os hackers explorarem vulnerabilidades e causarem danos no mundo real. Kaiser disse que as ameaças cibernéticas se tornaram uma grande ameaça à segurança nacional. Os ataques cibernéticos não são mais domínio das colunas de tecnologia, mas agora são notícias de primeira página. César citou exemplos de atores de ameaças norte-coreanos que se acredita terem hackeado a Sony em resposta ao seu lançamento Entrevistae hackers russos perturbando eleições e influenciando a geopolítica.
Ela observou que os ataques cibernéticos a pequenas e médias empresas (PME) aumentaram 20% desde 2023, sendo que as PME têm agora quatro vezes mais probabilidade de serem atacadas do que as organizações maiores. A tecnologia que suporta ataques cibernéticos melhorou e um ataque cibernético típico agora leva apenas quatro horas.
De acordo com Kaiser, alguns grupos de hackers agora operam como empresas tradicionais, com linhas diretas de atendimento ao cliente e marcas próprias. Da mesma forma, fóruns clandestinos, mais próximos das plataformas de consumo, vendem credenciais que fornecem acesso a redes comprometidas. Esses fóruns respondem por 60% de toda a atividade da darknet. Como resultado, os grupos de hackers não precisam mais construir seus serviços do zero, pois a infraestrutura pode ser adquirida em fóruns da darknet.
O crescimento explosivo das ferramentas de IA
A grande mudança recente na atividade da darknet é o uso de inteligência artificial. Kaiser observou que, até este ano, quase não havia menções a ferramentas de hacking de inteligência artificial em fóruns da dark web. Depois houve um crescimento explosivo nas ferramentas de inteligência artificial. O número de postagens sobre inteligência artificial em fóruns da dark web aumentou de 38 em dezembro de 2025 para quase 1.500 em fevereiro de 2026.
Kaiser explicou que essas ferramentas de hacking de IA são modelos de linguagem grande (LLMs) armados, ferramentas de IA que tiveram suas restrições de segurança removidas, permitindo que hackers as usassem para fins maliciosos. Os LLMs armados geralmente vêm na forma de versões de ataque de sistemas de inteligência artificial para ajudar os criminosos.
O líder de mercado em Weaponized LL.M. é WormGPT, que veio à tona pela primeira vez em 2023. Embora a versão original tenha sido encerrada poucas semanas após a identificação de seu criador, o nome agora se tornou uma marca, com vários fornecedores executando diferentes versões do código WormGPT. O canal Telegram “oficial” do WormGPT tem atualmente mais de 15.000 membros e anunciou recentemente que a versão mais recente (Kriminal.AI) será gratuita.
Kaiser destacou que a fraude de identidade é um dos principais usos das ferramentas de inteligência artificial transformadas em armas, porque as técnicas de engenharia social podem ser alcançadas através da replicação de vozes da inteligência artificial. Esses deepfakes têm uma taxa de sucesso superior a 90% e podem ser gerados a partir de apenas três segundos de áudio. A fraude de identidade baseada em IA também inclui falsificação de documentos e vídeos deepfake. Um vídeo deepfake típico agora custa cerca de US$ 800 (cerca de £ 600), com fornecedores oferecendo descontos promocionais sazonais.
A inteligência artificial pode ser usada para aprimorar o malware para atacar a infraestrutura. As ferramentas de IA já são capazes de simular chamadas telefônicas de call centers, juntamente com o bate-papo em segundo plano associado e a digitação no teclado. Esses call centers simulados com inteligência artificial foram treinados em mais de 150.000 chamadas de clientes e podem falar mais de 25 idiomas. Eles cobram até US$ 7 (pouco mais de £ 5) por 1.000 chamadas e afirmam suportar até 120 chamadas simultâneas.
Kaiser observou que serviços de IA desbloqueados e roubados também estão disponíveis para compra on-line, com tópicos ativos em vários fóruns de hackers que servem como repositórios vivos.
A fraude de identidade é um dos principais usos das ferramentas de IA transformadas em armas, já que as técnicas de engenharia social podem ser realizadas por meio de vozes clonadas de IA
A vasta gama de produtos disponíveis nos fóruns da darknet e os seus preços competitivos significam que não existem barreiras financeiras à entrada. Kaiser destacou como o WormGPT usa um modelo de negócios freemium: a tecnologia principal é de uso gratuito, mas os recursos premium exigem pagamento.
Kaiser explicou como os grandes fornecedores da darknet estão automatizando a automação de lojas e a distribuição de serviços. As plataformas também estão se tornando mais avançadas e empregando redundâncias para lidar com interrupções.
De acordo com Kaiser, os operadores da darknet parecem ter um modelo de dois estágios. Novas tecnologias darknet são desenvolvidas e testadas e, uma vez verificada, uma ferramenta é compartilhada nos canais do Telegram para distribuição mais ampla. Esses fóruns fornecem serviços e cada canal é projetado para oferecer suporte a outro canal.
A maior vulnerabilidade enfrentada pelos operadores da darknet não é a aplicação da lei, mas uns aos outros, uma vez que as ferramentas de inteligência artificial agora têm como alvo os concorrentes do mercado. As pessoas que pagam pelo cibercrime correm, portanto, o risco de os seus dados serem partilhados online. Essencialmente, o mercado criminoso de IA tem um problema de ameaça interna.
Uma defesa eficaz ainda é possível
Kaiser enfatizou que, apesar dos riscos significativos representados por grupos de hackers, ainda podemos defender-nos contra estas ferramentas, mas precisamos de nos adaptar rapidamente para nos protegermos contra os riscos representados por aqueles que procuram explorar a tecnologia.
Ela explica algumas das técnicas mais eficazes. Impedir o acesso inicial continua a ser uma defesa essencial contra ataques cibernéticos – se os hackers não conseguirem entrar, os dados ainda estarão seguros. Kaiser recomenda a adoção de autenticação multifator (MFA) resistente a phishing e correção acelerada, além de preparar os funcionários para chamadas de voz geradas por IA que se fazem passar por parceiros, executivos e funcionários.
No entanto, dada a variedade de ameaças cibernéticas que as organizações enfrentam, a questão dos ataques cibernéticos depende de quando, e não se. Com isto em mente, Kaiser observou que detectar movimentos laterais na rede (como através do uso de ferramentas de monitoramento de rede e definir linhas de base comportamentais do comportamento esperado do usuário) é fundamental para alertar as equipes de segurança sobre ameaças potenciais na rede, com foco particular em endpoints e telemetria de rede. Também pode ser útil definir permissões mínimas de usuário e garantir que as credenciais do usuário acessem apenas as áreas necessárias (especialmente quando os usuários mudam de função na organização).
Kaiser disse que também é fundamental violar a exfiltração e criptografia de dados, o que pode ser conseguido detectando comportamento anômalo do usuário e tentativas de criptografia não autorizadas e monitorando o tráfego de saída em busca de informações confidenciais. O backup imutável de dados também garantirá que, se o pior acontecer e os dados forem comprometidos, o sistema poderá ser restaurado de uma perspectiva segura. Todas essas tecnologias criam resiliência na rede para interromper agentes de ameaças mal-intencionados e evitar que os dados sejam comprometidos.
Kaiser também enfatizou como os exercícios de mesa podem ser usados para simular vários cenários de pior caso, permitindo que as organizações desenvolvam políticas para tais eventos. Isso ajuda os funcionários a saber o que precisa ser feito – ou pelo menos saber onde procurar. Essencialmente, é necessária uma abordagem profunda à defesa da segurança da rede, com múltiplas camadas sobrepostas de controlos de segurança dentro da rede. Portanto, mesmo que um mecanismo seja comprometido ou comprometido, medidas redundantes podem ser implementadas para atrasar os invasores, conter ameaças e proteger materiais valiosos.
À luz dos recentes desenvolvimentos na clonagem de voz alimentada por IA, Kaiser sugere que as equipes de segurança precisam reposicionar os telefones como o principal vetor de ameaça. A inteligência artificial está tornando as chamadas de voz cada vez mais escalonáveis, permitindo chamadas automatizadas para centenas de pessoas sem a necessidade de uma central de atendimento.
Embora os agentes maliciosos utilizem ferramentas de inteligência artificial, as equipas de segurança cibernética podem responder com sistemas automatizados de deteção e identificação para que as redes possam responder aos intrusos de forma mais rápida e eficaz.
Kaiser também sugeriu que nós, como sociedade, precisamos trabalhar melhor em conjunto para combater o aumento do crime cibernético. Este último ponto não é uma questão tecnológica, mas sim uma questão política e de parceria, uma vez que os governos precisam de permitir a partilha de informações sobre ameaças cibernéticas emergentes entre organizações e agências de segurança para que as equipas de segurança possam preparar defesas eficazes.
Em última análise, a proliferação de ferramentas de inteligência artificial em fóruns da darknet torna o hacking cada vez mais fácil. Agora, isso não é mais responsabilidade de operações criminosas em grande escala ou de grupos de hackers patrocinados pelo Estado, mas de qualquer pessoa com um orçamento razoável.
No entanto, a inteligência da dark web mostra que os cibercriminosos são vulneráveis a ataques que utilizam as suas próprias técnicas. Além disso, as rusgas policiais e as perturbações financeiras podem funcionar bem, mas as redundâncias inerentes às plataformas darknet significam que têm alguma resistência a isso. Portanto, há necessidade de maior cooperação entre agências e organizações de segurança, a fim de lidar com ameaças emergentes.
O Telescópio Espacial James Webb da NASA observou recentemente a galáxia estelar Messier 82 (M82), apelidada de Galáxia do Charuto. A nova visão de M82 de Webb, adicionada aos dados de arquivo do Telescópio Espacial Hubble da NASA, dá-nos uma imagem mais completa desta galáxia estelar. Como Webb pode ver no infravermelho, ele é capaz […]
Há menos de dois anos, era provável que uma mulher fosse a próxima líder do JPMorgan Chase. Na quinta-feira, isso parecia improvável. O JPMorgan Chase nomeou Doug Petno e Troy Rohrbaugh, atuais codiretores dos bancos comerciais e de investimento do banco, como copresidentes, tornando-os os pioneiros para suceder o CEO de longa data Jamie Dimon. […]
Olhando para o futuro: A ideia de que os carros parecem consumir luz em vez de refleti-la permaneceu à margem da ciência dos materiais durante anos. Agora, uma equipe de pesquisadores afirma ter dado um passo em direção a esse objetivo, revelando um novo revestimento composto que combina extrema absorção de luz com durabilidade prática. […]
