A empresa de cibersegurança ESET afirmou ter identificado o que classifica como o primeiro ransomware alimentado por inteligência artificial em operação. O malware, batizado de PromptLock, foi desenvolvido para rodar localmente em computadores das vítimas e utiliza o modelo de linguagem gpt-oss:20b, acessado por meio da API Ollama, para criar scripts maliciosos em Lua no momento da execução.
Como o PromptLock opera
De acordo com a ESET, o funcionamento do PromptLock difere dos ransomwares tradicionais por empregar IA generativa durante todo o ataque. Assim que instalado, o código solicita ao modelo gpt-oss:20b instruções específicas para o ambiente comprometido. O resultado é a produção automática de scripts que podem exfiltrar, criptografar ou mesmo destruir arquivos presentes no sistema. Cada script é gerado em tempo real, o que gera variações constantes na carga maliciosa e complica a identificação por ferramentas de defesa que dependem de assinaturas.
O processo ocorre de forma totalmente local. Dessa forma, não há tráfego externo perceptível para os servidores do fornecedor do modelo, e a própria OpenAI — que mantém o repositório do gpt-oss:20b — não possui visibilidade da atividade. A ausência de comunicação de rede relacionada ao modelo limita alertas baseados em comportamento e dificulta a criação de listas de bloqueio.
Riscos para usuários e empresas
Segundo a análise divulgada, o PromptLock consegue reconhecer tipos de arquivos comuns em ambientes de trabalho, como documentos, planilhas e bancos de dados. A partir dessa identificação, o malware define a estratégia de ataque mais rentável: pode optar por copiar informações sensíveis, criptografar o conteúdo exigindo resgate ou simplesmente deletar dados, conforme o objetivo dos operadores.
Outro fator de preocupação é a capacidade de evasão. Como o modelo de IA gera saídas diferentes a cada execução, ferramentas de antivírus que dependem de detecção estática ou de assinaturas prévias tendem a falhar. A própria ESET reforça que a variação contínua dos scripts prejudica o uso de indicadores de comprometimento tradicionais, exigindo abordagens de defesa focadas em comportamento e isolamento de processos suspeitos.
Desafios para a cibersegurança
A descoberta ressalta duas tendências emergentes. Primeiro, a aplicação de modelos de linguagem de código aberto em ataques cibernéticos. Segundo, a preferência por execução local, reduzindo pontos de monitoramento. Esses fatores ampliam o espaço de atuação de criminosos, que passam a dispor de uma “fábrica” de códigos que se adapta ao ambiente da vítima em tempo real.
Para mitigar riscos, especialistas recomendam revisar políticas de privilégio mínimo, adotar soluções de detecção baseadas em comportamento e manter cópias de segurança offline. A ESET não divulgou indicadores de comprometimento específicos, justamente por sua volatilidade, mas informou que continua monitorando variantes ligadas ao PromptLock.
Imagem: Internet
Possível impacto no cenário global
A adoção de IA em ransomware pode acelerar a produção de famílias maliciosas e reduzir a barreira técnica para novos agentes de ameaça. Organizações de todos os portes precisam considerar esse avanço nas estratégias de resposta a incidentes. Caso se confirme a tendência, ataques automatizados baseados em IA poderão surgir com maior frequência, exigindo atualização constante de metodologias de defesa.
Mais informações sobre inteligência artificial e suas implicações na segurança podem ser encontradas na categoria de IA do nosso site, que reúne análises e atualizações sobre o tema.
Em síntese, o PromptLock inaugura uma fase em que ransomwares passam a utilizar modelos de linguagem para driblar camadas tradicionais de proteção. Manter sistemas atualizados, reforçar políticas de backup e investir em sistemas de detecção orientados a comportamento são medidas imediatas recomendadas pelos especialistas. Acompanhe as próximas atualizações e prepare sua infraestrutura para esse novo cenário.
Quer ficar a par das principais novidades em segurança digital? Ative as notificações e acompanhe nossos conteúdos diários.
Curiosidade
O uso de IA generativa em códigos maliciosos não é exclusivo do universo dos ransomwares. Ferramentas de phishing já empregam modelos de linguagem para redigir e-mails mais convincentes, adaptados ao idioma e ao contexto da vítima. Esse fenômeno revela como a automação baseada em IA vem remodelando várias modalidades de crime cibernético. Monitorar essa evolução tornou-se peça-chave para quem trabalha na linha de frente da segurança da informação.
