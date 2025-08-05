Inteligência artificial Cálculo e servidores Automação de TI

A ascensão do ransomware como serviço: como o cibercrime se tornou um negócio

O ransomware como serviço (RaaS) surgiu como um modelo de negócios revolucionário, no qual os hackers combinam os recursos do ransomware tradicional com a acessibilidade dos serviços na nuvem. Essa medida os ajudou a transformar a extorsão digital sofisticada em uma economia baseada em assinaturas, disponível para quase qualquer pessoa com intenções maliciosas.

Historicamente, os ataques de ransomware foram realizados principalmente por agentes de ameaças tecnicamente habilidosos que escreveram seu próprio malware, distribuíram-no por meio de phishing ou por meio de kits de exploração e negociaram diretamente com a vítima. Porém, nesse modelo tradicional havia limitações, como escalabilidade limitada, exposição a riscos e a necessidade de um amplo conjunto de habilidades. 

Então, o modelo RaaS entrou em cena. Nesse modelo, os desenvolvedores de ransomware criam ferramentas de malware robustas e as alugam para seus clientes ou afiliados, que realizam os ataques reais. Os desenvolvedores recebem 20% a 40% dos lucros, enquanto os afiliados ficam com o restante.

Isso tornou o cibercrime mais acessível, permitindo que pessoas com conjuntos de habilidades limitados realizassem ataques poderosos usando ferramentas avançadas. 

Como funciona o ransomware como serviço

O RaaS é um modelo de negócios do cibercrime em que hackers profissionais chamados desenvolvedores criam e vendem ou alugam ferramentas prontas de ransomware para afiliados (outros criminosos) que as utilizam para realizar ataques. Existem vários estágios, conforme explicado abaixo.

1. Desenvolvimento do malware 

O desenvolvedor ou operador projeta a carga útil do ransomware. As funcionalidades geralmente incluem:

  • Algoritmos de criptografia para bloquear os dados das vítimas
  • Técnicas de autoexclusão
  • Métodos de evasão para contornar antivírus e EDR
  • Canais de comunicação integrados (como comando e controle baseados em TOR)

Algumas famílias sofisticadas incluem até funcionalidades modulares, como propagação em formato de worm, evasão de área de testes e criptografia multithreading. 

2. Hospedagem de plataformas de RaaS 

Depois que o malware é criado, ele é compactado e disponibilizado por meio de mercados ou fóruns privados. Essas plataformas se assemelham a sites SaaS legítimos e suas funcionalidades incluem:

  • Dashboards de usuários para rastrear infecções
  • Portal de pagamento e gerenciamento de chaves de descriptografia 
  • Fóruns de suporte
  • Atualizações e lançamentos de funcionalidades 
  • Materiais de marketing para seus afiliados

Alguns grupos de RaaS têm até portais de atendimento ao cliente para ajudar os afiliados a solucionar problemas de implementação.

De acordo com a Crowdstrike, os kits de RaaS são anunciados nos mercados da dark web e incluem suporte 24 horas por dia, 7 dias por semana, ofertas agrupadas, avaliações de usuários, fóruns e outras funcionalidades idênticas às oferecidas por provedores legítimos de SaaS.

3. Recrutamento de afiliados 

Os afiliados normalmente são outros cibercriminosos que não são tão talentosos quanto os desenvolvedores de ransomware, mas esses cibercriminosos podem espalhar ransomware por meio de seu acesso a redes reais.  

Em grandes operações de RaaS, o recrutamento geralmente é feito por gerentes de afiliados ou recrutadores. Uma pessoa dedicada ou uma pequena equipe encontra, examina e integra afiliados. Em operações de RaaS pequenas ou recém-lançadas, o recrutamento geralmente é feito pelo próprio desenvolvedor ou operador.

O recrutamento frequentemente ocorre por meio de várias fontes, incluindo plataformas de mensagens privadas, como Telegram ou Jabber, fóruns na dark web ou convites para participar de grupos privados.

Os desenvolvedores podem avaliar cuidadosamente os afiliados antes de permitir que eles participem do grupo. Em troca, os afiliados têm acesso ao ransomware, à documentação e às ferramentas. Às vezes, eles visam o recrutamento baseado na reputação. Em raras ocasiões, os invasores podem usar anúncios falsos de vagas de emprego na TI ou plataformas de freelancers para recrutar pessoas sem saber ou para testar suas habilidades.

4. Entrega da carga útil 

Os afiliados lidam com a distribuição de ransomware usando várias fontes, incluindo:

  • E-mails de phishing com anexos maliciosos 
  • Publicidade maliciosa 
  • Sites comprometidos  
  • Exploração de software não corrigido ou vulnerabilidades 
  • Corretores de acesso inicial (IABs) ou intrusos iniciais (esses criminosos vendem pontos de entrada comprometidos em redes)

Em alguns casos, os afiliados também implementam técnicas de extorsão dupla, onde primeiro roubam dados antes de criptografá-los, então ameaçam publicá-los se a vítima não pagar o resgate.  

5. Lidar com a vítima para pagamento 

Depois que os sistemas são criptografados, o ransomware exibe uma mensagem com instruções de pagamento. Esses criminosos geralmente exigem criptomoedas como Bitcoin. Eles fornecem etapas detalhadas, incluindo como usar o Tor e carteiras de criptomoedas na própria nota de resgate.

A vítima recebe os links dos portais de negociação. Esses portais são normalmente hospedados no TOR. Alguns grupos de RaaS automatizam essas conversas usando chatbots, enquanto alguns grupos oferecem operadores humanos para lidar com a negociação de preços. 

Esses grupos dividem suas responsabilidades de forma clara. Os afiliados são responsáveis por implementar o ransomware, entregar o pedido de resgate, estabelecer a comunicação inicial e lidar com a negociação. O desenvolvedor principal ou a equipe de desenvolvedores fornece o back-end hospedando portais, verificar pagamentos e distribuindo chaves de descriptografia.

6. Participação nos lucros 

Quando esses grupos obtêm algum sucesso em extorquir o dinheiro da vítima, eles dividem o fundo conforme o acordo. O valor acordado vai para o desenvolvedor, e o restante do valor será mantido pelo afiliado. 

Modelos de negócios de RaaS

Existem vários modelos sob os quais o RaaS opera. Eles incluem os seguintes:

  • Afiliado/participação no lucro: os afiliados não pagam nenhum custo inicial, mas os desenvolvedores recebem uma parcela de cada resgate. Esse é o modelo mais comum.
  • Baseado em assinatura: os afiliados pagam uma taxa mensal para ter acesso ao kit e ao suporte contra ransomware. 
  • Licença única: uma taxa fixa compra acesso ilimitado ao malware, mas sem suporte contínuo.
  • Desenvolvimento personalizado: ransomware personalizado vendido para um único comprador, geralmente para ataques de alto perfil ou direcionados.

Grupos de RaaS do mundo real 

Algumas das quadrilhas de ransomware mais populares que trabalham sob o modelo RaaS incluem:

  • REvil: esse grupo oferecia dashboards detalhados para afiliados e muitas vezes negociava resgates em nome deles antes de se dispersar.
  • DarkSide: esse grupo é conhecido pela marca profissional, pelas declarações de RP e até por um código de conduta.
  • Conti: esse grupo funcionava como uma entidade corporativa, com folha de pagamento, gerentes e avaliações de desempenho antes de ser desfeita.
  • LockBit: esse grupo ainda está ativo, conhecido por táticas agressivas e sites públicos de vazamentos.

Precauções: como nos defendermos contra o RaaS

Para se manterem protegidas contra o RaaS, as empresas devem escolher uma estratégia de defesa em várias camadas, incluindo:

  1. Consciência do usuário: o phishing é o ponto de entrada mais comum. O treinamento regular pode conscientizar os usuários sobre os ataques cibernéticos. 
  2. Detecção comportamental e heurística: todos os dias, o Raas lança novos serviços.   Os Indicadores de comprometimento (IOCs) podem detectar a presença de atividades maliciosas ou evidências de uma violação de segurança em uma rede, sistema ou endpoint. Como cada segundo conta durante um ataque de ransomware, as ferramentas EDR/XDR podem detectar, conter e responder em tempo real
  3. Mapeamento de assinaturas: cada família de ransomware tem assinaturas comportamentais distintas e características de carga útil. O mapeamento dessas assinaturas ajuda a criar defesas mais direcionadas. As empresas podem atualizar regularmente feeds de inteligência de ameaças e integrá-los às plataformas SIEM ou SOAR. O framework MITRE ATT&CK ou o Threat Fox são muito bons para essa finalidade. Os usuários podem optar pela assinatura de tendências de malware do Any.run para obter relatórios regulares e detalhados sobre os principais tipos de malware, IOCs ou TTPs. Os usuários também podem aproveitar o dashboard para ver informações detalhadas sobre as famílias de malware.
  4. Monitoramento da integridade dos arquivos: se os usuários realizarem o monitoramento da integridade dos arquivos, poderão detectar facilmente alterações não autorizadas em arquivos e diretórios em um sistema. Eles serão alertados quando arquivos críticos (como configurações do sistema ou arquivos executáveis) forem modificados, excluídos ou adicionados. Isso ajuda a identificar sinais de malware, backdoors ou até mesmo ameaças internas com antecedência.
  5. Aplicação de patches e atualizações: as correções regulares desempenham um papel fundamental na defesa contra o RaaS, pois muitos afiliados do RaaS procuram software não corrigido para obter acesso.
  6. Detecção e resposta de endpoint (EDR): a implementação da EDR protege contra o RaaS. A EDR realiza análise comportamental para detectar ransomware em fases iniciais de execução.
  7. Arquitetura zero trust: ao empregar a arquitetura zero trust, o movimento lateral será limitado, mesmo que um sistema esteja comprometido.
  8. Segmentação: a segmentação da rede ajuda a evitar a criptografia completa da rede, isolando sistemas críticos em diferentes segmentos.
  9. Backups offline: os backups offine são imunes a infecções; portanto, se os backups online estiverem comprometidos, os usuários poderão restaurá-los com segurança a partir de cópias offline.
  10. Conformidade: manter a conformidade do endpoint reduz significativamente o risco representado pelo ransomware como serviço (RaaS). As empresas devem garantir que os sistemas sejam protegidos, sem vulnerabilidades, e que estejam atualizados com as últimas definições antimalware.

O ransomware como serviço reduziu as barreiras de entrada no cibercrime, permitindo que até mesmo invasores pouco habilidosos lancem campanhas devastadoras. Com operações bem organizadas, redes afiliadas e modelos de participação nos lucros, o RaaS continua evoluindo rapidamente. 

Para combater essa ameaça, as organizações devem adotar uma estratégia de defesa em camadas que inclua educação do usuário, backup regular, uso de EDR, inteligência de ameaças e resposta rápida a incidentes.
