IA dá novo impulso ao cibercrime, revela relatório

Em 2024, a paisagem da cibersegurança encontrou adversários cada vez mais evoluídos, cuja ameaça cresce à medida que as técnicas utilizadas vão ficando cada vez mais sofisticadas. O novo Índice de Inteligência de Ameaças IBM X-Force 2025, em parceria com a Red Hat, aponta para a evolução das ameaças, que se adaptam rapidamente às novas defesas tecnológicas e utilizam ferramentas avançadas, incluindo a Inteligência Artificial (IA).

Os atacantes têm vindo a explorar com maior eficiência as credenciais de login comprometidas, em substituição dos métodos tradicionais de ataque como a força bruta. O custo médio global de uma violação de dados atingiu, de acordo com o relatório, um recorde de 4,88 milhões de dólares em 2024 – uma tendência alarmante que sublinha o impacto desses ataques.

Já as violações de dados são, frequentemente, apenas o início de campanhas maiores, com ataques coordenados que têm como principais alvos infraestruturas críticas, como redes elétricas e hospitais – muitas vezes através da obtenção e revenda de identidades e credenciais na dark web. A exposição crescente das empresas, provocada pela adoção acelerada de ambientes multicloud e soluções baseadas em IA, amplia significativamente a superfície de ataque.

IA: uma ferramenta de ataque em expansão

Nas mãos dos cibercriminosos, a inteligência artificial – maioritariamente usada para reforçar a defesa – está a transformar-se numa ferramenta do arsenal ofensivo. Em 2024, a IA generativa foi amplamente utilizada para criar campanhas de phishing e engenharia social. Neste sentido, registou-se um aumento de 84% na distribuição de malware por emails de phishing. A personalização de emails, inclusive com o uso de deepfakes, dificulta a identificação dos ataques e tornam-se mais eficazes e difíceis de prevenir.

O documento torna visível que, embora ainda não tenha sido massivamente adotada em todas as frentes, o impacto da sua utilização nas operações de cibercrime está a crescer. O facto de 72% das empresas já utilizarem IA nas suas operações diárias cria mais oportunidades para os atacantes explorarem vulnerabilidades emergentes — não apenas técnicas, mas também humanas, através da manipulação de comportamentos.

Ransomware mantém-se como ameaça ativa e adaptável

Apesar da perceção de abrandamento nos ataques de ransomware, a IBM alerta que o fenómeno continua a evoluir – com 28% dos incidentes analisados no relatório da IBM X-Force, reforçando a sua posição como um dos vetores de ataque mais recorrentes em 2024. Os grupos de ameaça passaram a adotar abordagens multiplataforma, com o objetivo de visar em simultâneo ambientes Windows e Linux. As técnicas de extorsão múltipla tornaram-se mais comuns e têm aumentado a pressão sobre as vítimas para cederem às exigências dos atacantes. Em 2024, houve um aumento de 25% nas atividades relacionadas com ransomware na dark web, o que, por sua vez, reflete uma reorganização estratégica dos grupos criminosos.

As soluções de Endpoint Detection and Response (EDR) continuam a ser eficazes na deteção de acessos por backdoor, mas os atacantes têm apostado em métodos mais difíceis de detetar, como o acesso não detetado de infostealers e do bypass da autenticação multifator (MFA). Estes ataques procuram explorar o elemento humano, a gestão deficiente de acessos e a ausência de planos de resposta a incidentes bem definidos.

Já a exploração de aplicações públicas foi identificada como vetor de entrada em 25% das violações confirmadas, sinalizando a urgência de práticas consistentes de atualização de software e correção de vulnerabilidades.

Combinação letal entre phishing e infostealers

O phishing assume o papel principal, enquanto vetor de infeção dominante, – mas com uma mudança estratégica relevante. Os anexos ZIP, RAR ou documentos Word/Excel foram substituídos por PDF com URL ofuscadas ou encriptadas. Esta nova tática visa contornar as soluções de segurança tradicionais e torna os ataques mais difíceis de detetar.

Em vez de tentar manter um ponto de entrada persistente, os atacantes passaram a apostar nos infostealers, softwares que roubam rapidamente credenciais e dados sensíves antes de serem detetados. Esta mudança levou a um aumento de 84% na entrega de infostealers por email em 2024, com previsão de crescimento de até 180% em 2025. Os programas mais observados nas campanhas analisadas foram AgentTesla, FormBook, SnakeKeylogger e PureLogs Stealer, sendo que técnicas como o 'sequestro de anexos', que utiliza faturas legítimas roubadas para mascarar malware, mostram a sofisticação crescente destas operações.

A cloud com o palco de ataque e exfiltração

O relatório evidencia ainda a utilização cada vez mais frequente de serviços de hospedagem em cloud para campanhas de phishing. Esta tendência tira partido da credibilidade das infraestruturas de cloud, como AWS ou Google Cloud, para disfarçar ações maliciosas. Na América Latina, esta prática intensificou-se, com um aumento significativo de ataques que utilizam PDF e serviços na cloud como meio de infeção.

Além disso, o malware na cloud tem sido distribuído com maior frequência, apoiado na facilidade de propagação e persistência oferecida por estas plataformas. Em paralelo, foi registado um aumento de 30% nos ataques que exploram vulnerabilidades conhecidas em aplicações populares – um alerta claro para a necessidade de uma gestão eficaz de patches e atualizações.

Além do uso estratégico da cloud, a análise da IBM X-Force aponta para um crescimento acentuado da atividade maliciosa na região da Ásia-Pacífico, que, em 2024, registou um aumento de 82% nos ataques identificados. Este incremento reflete não apenas a sofisticação dos grupos cibercriminosos, mas também o foco em geografias com elevada densidade empresarial e digitalização acelerada.

Preparação e treino para o inevitável

Apesar de o volume global de ataques de phishing ter diminuído, a qualidade e eficácia das campanhas aumentaram, como conclui o relatório. O foco dos atacantes passou a ser o roubo de credenciais válidas, que servem como porta de entrada para ataques mais amplos. Estas credenciais, utilizadas em campanhas subsequentes, são difíceis de rastrear e representam um dos maiores riscos para as empresas atualmente.

A IBM alerta que muitas organizações continuam sem um plano estruturado de resposta a incidentes, o que as torna vulneráveis a ataques coordenados. A rapidez e eficácia com que uma empresa reage a um ataque pode fazer a diferença. Nesse sentido, torna-se urgente adotar medidas proativas de gestão de riscos, como a monitorização em tempo real, a análise comportamental e a capacitação contínua das equipas internas.