Releases

Por Ramon Ribeiro, Diretor Comercial da Solo Network e CTO da Solo Iron 

De Brasil a Estados Unidos, do Reino Unido à União Europeia, o ransomware entrou no meio da década como um tipo de “economia paralela” da criminalidade digital: organiza-se como serviço, terceiriza etapas e explora a dependência de empresas e governos de sistemas conectados. A novidade não é a criptografia em si, mas sim como a extorsão se combina com operações mais rápidas, com mais dados roubados e com o uso crescente de inteligência artificial para reduzir custo e aumentar alcance. 

O relatório Threat Landscape 2025, publicado pela ENISA – a agência da EU para cibersegurança – classificou a inteligência artificial como um dos elementos definidores do panorama de ameaças atual. O relatório destaca que campanhas de phishing apoiadas por IA passaram a representar parcela majoritária das iniciativas de engenharia social observadas no ano passado. O impacto prático é direto: textos mais convincentes, adaptação de linguagem ao perfil da vítima, automação de testes de abordagem e redução do custo operacional do ataque.  

A IA não substitui integralmente o operador humano no ransomware, mas reduz o esforço nas etapas que historicamente exigiam tempo e habilidade manual. Modelos de linguagem são utilizados para produzir e-mails altamente personalizados, analisar dados exfiltrados para identificar informações sensíveis com maior potencial de pressão e apoiar a pesquisa de vulnerabilidades. O National Cyber Security Centre, do Reino Unido, já alertou que a IA tende a aumentar eficiência, frequência e escala de táticas existentes, sobretudo em reconhecimento e exploração assistida. 

O papel dos agentes de IA 

O avanço mais sensível, no entanto, está no uso de arquiteturas baseadas em agentes. Diferentemente de um modelo que apenas gera texto, agentes são sistemas capazes de planejar tarefas, executar chamadas a ferramentas externas, interagir com APIs e manter contexto ao longo de múltiplas etapas. Quando aplicados em ambientes corporativos legítimos, esses agentes automatizam processos internos, integram sistemas e reduzem fricção operacional. Sob a perspectiva ofensiva, a mesma lógica pode ser utilizada para coordenar ações distribuídas. 

Um ataque estruturado pode envolver um agente dedicado à coleta de informações públicas e internas, outro voltado à validação de credenciais e exploração de permissões excessivas, e um terceiro responsável por operar APIs de serviços em nuvem para mapear recursos, tokens e chaves de acesso. A partir da intrusão inicial, a automação acelera a movimentação lateral e a exfiltração. O resultado é um encurtamento do ciclo entre comprometimento e extorsão. 

No Brasil, alertas do CTIR Gov já descreviam desde 2022 o amadurecimento de grupos como BlackCat/ALPHV, operando com técnicas de movimentação lateral e criptografia customizada. O que muda agora é a camada adicional de automação inteligente, somada à crescente adoção corporativa de integrações baseadas em APIs, contas de serviço e fluxos automatizados.  

Essa convergência amplia a superfície de risco. Cada integração adiciona credenciais, tokens e permissões. Cada agente corporativo com autonomia operacional representa uma nova identidade de máquina. Se comprometidos, esses elementos podem agir com legitimidade aparente dentro do ambiente. A investigação deixa de perguntar apenas “quem acessou” e passa a questionar “qual sistema executou determinada ação e sob qual cadeia de decisões”. 

Do ponto de vista técnico, a resposta a essas novas ameaças exigem revisão arquitetural. Modelos de zero trust, segmentação granular e controle rigoroso de identidades de máquina tornam-se prioridade. A gestão de privilégios precisa incluir contas de serviço e integrações automatizadas. Logs devem ser centralizados e protegidos contra adulteração, permitindo análise comportamental baseada em sequências de eventos e não apenas em alertas isolados. 

Backups imutáveis continuam sendo medida fundamental contra criptografia, mas não resolvem a dimensão reputacional da extorsão por vazamento. Monitoramento contínuo de exfiltração e políticas claras de resposta a incidentes passam a integrar o planejamento estratégico. 

A adoção de inteligência artificial nas empresas não é, por si, o problema. Ao contrário, pode fortalecer detecção e resposta quando aplicada de forma estruturada. O risco surge quando agentes operam com permissões excessivas, integrações são implementadas sem inventário adequado e decisões automatizadas não possuem trilha auditável. 

O ransomware evoluiu de ataque técnico para modelo econômico estruturado. A incorporação de IA e agentes autônomos acelera essa lógica, reduz custos para os criminosos, e aumenta a complexidade para as empresas, que precisam manter suas estratégias de defesa atualizadas. A prioridade estratégica passa por governar identidades, APIs e algoritmos com o mesmo rigor aplicado a ativos físicos e financeiros.  

Empresas que tratarem agentes e automações como parte central da arquitetura de risco estarão melhor posicionadas para enfrentar a próxima onda. As que enxergarem a IA apenas como ferramenta de produtividade podem descobrir tarde demais que autonomia sem controle amplia a exposição de forma silenciosa, porém decisiva. 

Sobre a Solo Iron  

Solo Iron é a vertical de cibersegurança da Solo Network especializada em oferecer proteção cibernética corporativa de ponta a ponta, por meio da uma equipe altamente especializada e soluções dos maiores fabricantes de tecnologias de cibersegurança do mundo. Reunindo a expertise e a bagagem de mais de 20 anos de experiência da Solo Network, o portfólio Solo Iron oferece soluções que vão desde a proteção de endpoints até o SOC totalmente gerenciado. Saiba mais em www.soloiron.com.br