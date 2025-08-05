O ransomware como serviço (RaaS) surgiu como um modelo de negócios revolucionário, no qual os hackers combinam os recursos do ransomware tradicional com a acessibilidade dos serviços na nuvem. Essa medida os ajudou a transformar a extorsão digital sofisticada em uma economia baseada em assinaturas, disponível para quase qualquer pessoa com intenções maliciosas.
Historicamente, os ataques de ransomware foram realizados principalmente por agentes de ameaças tecnicamente habilidosos que escreveram seu próprio malware, distribuíram-no por meio de phishing ou por meio de kits de exploração e negociaram diretamente com a vítima. Porém, nesse modelo tradicional havia limitações, como escalabilidade limitada, exposição a riscos e a necessidade de um amplo conjunto de habilidades.
Então, o modelo RaaS entrou em cena. Nesse modelo, os desenvolvedores de ransomware criam ferramentas de malware robustas e as alugam para seus clientes ou afiliados, que realizam os ataques reais. Os desenvolvedores recebem 20% a 40% dos lucros, enquanto os afiliados ficam com o restante.
Isso tornou o cibercrime mais acessível, permitindo que pessoas com conjuntos de habilidades limitados realizassem ataques poderosos usando ferramentas avançadas.
O RaaS é um modelo de negócios do cibercrime em que hackers profissionais chamados desenvolvedores criam e vendem ou alugam ferramentas prontas de ransomware para afiliados (outros criminosos) que as utilizam para realizar ataques. Existem vários estágios, conforme explicado abaixo.
O desenvolvedor ou operador projeta a carga útil do ransomware. As funcionalidades geralmente incluem:
Algumas famílias sofisticadas incluem até funcionalidades modulares, como propagação em formato de worm, evasão de área de testes e criptografia multithreading.
Depois que o malware é criado, ele é compactado e disponibilizado por meio de mercados ou fóruns privados. Essas plataformas se assemelham a sites SaaS legítimos e suas funcionalidades incluem:
Alguns grupos de RaaS têm até portais de atendimento ao cliente para ajudar os afiliados a solucionar problemas de implementação.
De acordo com a Crowdstrike, os kits de RaaS são anunciados nos mercados da dark web e incluem suporte 24 horas por dia, 7 dias por semana, ofertas agrupadas, avaliações de usuários, fóruns e outras funcionalidades idênticas às oferecidas por provedores legítimos de SaaS.
Os afiliados normalmente são outros cibercriminosos que não são tão talentosos quanto os desenvolvedores de ransomware, mas esses cibercriminosos podem espalhar ransomware por meio de seu acesso a redes reais.
Em grandes operações de RaaS, o recrutamento geralmente é feito por gerentes de afiliados ou recrutadores. Uma pessoa dedicada ou uma pequena equipe encontra, examina e integra afiliados. Em operações de RaaS pequenas ou recém-lançadas, o recrutamento geralmente é feito pelo próprio desenvolvedor ou operador.
O recrutamento frequentemente ocorre por meio de várias fontes, incluindo plataformas de mensagens privadas, como Telegram ou Jabber, fóruns na dark web ou convites para participar de grupos privados.
Os desenvolvedores podem avaliar cuidadosamente os afiliados antes de permitir que eles participem do grupo. Em troca, os afiliados têm acesso ao ransomware, à documentação e às ferramentas. Às vezes, eles visam o recrutamento baseado na reputação. Em raras ocasiões, os invasores podem usar anúncios falsos de vagas de emprego na TI ou plataformas de freelancers para recrutar pessoas sem saber ou para testar suas habilidades.
Os afiliados lidam com a distribuição de ransomware usando várias fontes, incluindo:
Em alguns casos, os afiliados também implementam técnicas de extorsão dupla, onde primeiro roubam dados antes de criptografá-los, então ameaçam publicá-los se a vítima não pagar o resgate.
Depois que os sistemas são criptografados, o ransomware exibe uma mensagem com instruções de pagamento. Esses criminosos geralmente exigem criptomoedas como Bitcoin. Eles fornecem etapas detalhadas, incluindo como usar o Tor e carteiras de criptomoedas na própria nota de resgate.
A vítima recebe os links dos portais de negociação. Esses portais são normalmente hospedados no TOR. Alguns grupos de RaaS automatizam essas conversas usando chatbots, enquanto alguns grupos oferecem operadores humanos para lidar com a negociação de preços.
Esses grupos dividem suas responsabilidades de forma clara. Os afiliados são responsáveis por implementar o ransomware, entregar o pedido de resgate, estabelecer a comunicação inicial e lidar com a negociação. O desenvolvedor principal ou a equipe de desenvolvedores fornece o back-end hospedando portais, verificar pagamentos e distribuindo chaves de descriptografia.
Quando esses grupos obtêm algum sucesso em extorquir o dinheiro da vítima, eles dividem o fundo conforme o acordo. O valor acordado vai para o desenvolvedor, e o restante do valor será mantido pelo afiliado.
Existem vários modelos sob os quais o RaaS opera. Eles incluem os seguintes:
Algumas das quadrilhas de ransomware mais populares que trabalham sob o modelo RaaS incluem:
Para se manterem protegidas contra o RaaS, as empresas devem escolher uma estratégia de defesa em várias camadas, incluindo:
O ransomware como serviço reduziu as barreiras de entrada no cibercrime, permitindo que até mesmo invasores pouco habilidosos lancem campanhas devastadoras. Com operações bem organizadas, redes afiliadas e modelos de participação nos lucros, o RaaS continua evoluindo rapidamente.
Para combater essa ameaça, as organizações devem adotar uma estratégia de defesa em camadas que inclua educação do usuário, backup regular, uso de EDR, inteligência de ameaças e resposta rápida a incidentes.
