Ransomware alimentado por IA marca nova fase das ciberameaças

A ESET publicou a mais recente edição do seu Threat Report, que analisa a evolução do panorama de ameaças entre junho e novembro de 2025 com base na sua telemetria global e no trabalho dos seus especialistas em investigação e deteção de ameaças. O relatório revela um período marcado por uma aceleração significativa da sofisticação dos ataques, impulsionada, em parte, pela adoção crescente de Inteligência Artificial (IA) por parte dos cibercriminosos.

Um dos desenvolvimentos mais relevantes identificados no segundo semestre do ano foi a passagem do malware alimentado por IA do campo experimental para cenários reais. A ESET destaca a descoberta do PromptLock, considerado o primeiro ransomware conhecido a recorrer a IA para gerar scripts maliciosos em tempo real. Apesar de, atualmente, a utilização de IA continuar a ser mais comum em campanhas de phishing e esquemas de fraude, esta descoberta aponta para o início de uma nova fase na evolução das ameaças digitais.

Segundo Jiří Kropáč, diretor do Threat Prevention Labs da ESET, os operadores de esquemas fraudulentos têm vindo a aperfeiçoar rapidamente as suas técnicas. No caso das fraudes de investimento associadas à Nomani, foram observados deepfakes mais realistas, sinais claros de páginas de phishing criadas com recurso a IA e campanhas publicitárias cada vez mais curtas, desenhadas para escapar aos mecanismos de deteção.

A telemetria da ESET mostra que as deteções relacionadas com a Nomani cresceram 62% face ao ano anterior, embora se tenha registado uma ligeira desaceleração na segunda metade de 2025. Estas campanhas deixaram de estar confinadas à Meta, tendo-se expandido para outras plataformas, como o YouTube.

No ecossistema do ransomware, os dados indicam um agravamento claro da situação. O número de vítimas ultrapassou os valores totais de 2024 ainda antes do final do ano, com as projeções a apontarem para um crescimento anual de cerca de 40%. Os grupos Akira e Qilin consolidaram a sua posição no modelo de ransomware-as-a-Service, enquanto o grupo Warlock surgiu com novas técnicas de evasão que dificultam a deteção e resposta.

A proliferação de EDR killers continuou a ser uma tendência relevante, sublinhando que as soluções de deteção e resposta em endpoints permanecem um dos principais obstáculos para os operadores de ransomware. No segmento móvel, as ameaças baseadas em NFC registaram um aumento expressivo, com a ESET a observar um crescimento de 87% nas deteções, acompanhado por campanhas mais complexas e sofisticadas.

Entre os exemplos destacados está a evolução do NGate, que recebeu novas capacidades, incluindo o roubo de contactos, possivelmente como preparação para ataques futuros. O relatório identifica ainda o RatOn, um malware inédito no contexto das fraudes NFC, que combina funcionalidades típicas de um Trojan de acesso remoto com ataques de retransmissão NFC, evidenciando a capacidade de inovação dos atacantes.

O RatOn foi disseminado através de falsas páginas do Google Play e anúncios que imitavam uma versão adulta do TikTok e um serviço de identificação bancária digital. Já o PhantomCard, uma variante do NGate adaptada ao mercado brasileiro, foi detetado em várias campanhas no Brasil durante o segundo semestre de 2025.

Após uma interrupção global em maio, o Lumma Stealer conseguiu regressar, embora de forma muito mais limitada. As deteções caíram 86% na segunda metade do ano face ao primeiro semestre, e um dos seus principais vetores de distribuição praticamente desapareceu da telemetria da ESET.

Em contraste, o malware CloudEyE registou um crescimento acentuado, com as deteções a aumentarem quase trinta vezes. Distribuído sobretudo através de campanhas de email malicioso, este downloader e encriptador de Malware-as-a-Service é utilizado como etapa inicial para a implementação de outras ameaças, incluindo ransomware. De acordo com o relatório, a Polónia foi o país mais afetado, concentrando 32% das tentativas de ataque associadas ao CloudEyE no segundo semestre de 2025.