O ransomware deixou de ser obra de gênios solitários e virou indústria: relatórios de 2025 (ESET/WeLiveSecurity, ENISA e CISA) apontam que a maioria absoluta dos ataques de extorsão hoje nasce dentro de operações de Ransomware as a Service (RaaS) — plataformas comerciais com afiliados, suporte, "planos de comissão" e sites de vazamento, em que o Brasil segue entre os países mais visados da América Latina.

O que é Ransomware as a Service (RaaS)

RaaS é um modelo de negócio criminoso que replica, quase à risca, a lógica do Software as a Service legítimo. Em vez de vender licenças de um CRM, o operador vende (ou aluga) uma plataforma completa de ataque: o malware de criptografia, o painel de gestão de vítimas, a infraestrutura de comunicação, o site de leak e, muitas vezes, um "suporte" que ajuda o afiliado a fechar a extorsão. O que antes exigia um desenvolvedor experiente para escrever o encryptor virou um produto empacotado, com documentação e atualizações.

Essa transformação é o que explica a escala atual. O ransomware nunca foi tão frequente não porque a criptografia ficou mais sofisticada, mas porque a barreira de entrada despencou. Quem sabe apenas comprar um acesso e rodar um painel consegue conduzir um ataque que, uma década atrás, exigia uma equipe técnica dedicada.

A economia: operadores, afiliados e divisão de lucro

O ecossistema RaaS separa claramente dois papéis, e entender essa separação é essencial para a defesa:

  • Operadores (ou "developers"): mantêm o código do ransomware, a infraestrutura, a marca e o site de vazamento. Não costumam invadir empresas diretamente; eles fornecem a "franquia".
  • Afiliados: são os executores. Compram acesso à plataforma, invadem as vítimas, roubam dados e disparam a criptografia. Podem ser dezenas ou centenas trabalhando sob a mesma marca ao mesmo tempo.

A remuneração segue um modelo de comissão. Historicamente, o afiliado ficava com a maior fatia — algo em torno de 70% a 80% do resgate — e o operador retinha o restante como "royalty" da plataforma. Grupos maiores ofereciam condições agressivas justamente para atrair os melhores invasores, como uma empresa disputando talento. Há ainda variantes com mensalidade fixa, com pagamento único pela build ou com modelos híbridos.

Esse arranjo tem uma consequência prática incômoda para as vítimas: não existe uma única entidade a combater. Derrubar um operador não elimina os afiliados, que migram para outra marca em semanas. É um mercado, não uma quadrilha fixa.

Por que o modelo explodiu

A ascensão do RaaS combina fatores econômicos e técnicos. A especialização permitiu que cada participante fizesse apenas o que faz melhor: uns escrevem o malware, outros vendem acessos, outros negociam resgates. A economia de criptomoedas facilitou pagamentos difíceis de rastrear. E a maturidade do mercado de acessos iniciais transformou a etapa mais difícil de um ataque — entrar na rede — em um item de prateleira.

O resultado é um funil de crime com divisão de trabalho de nível corporativo. Para a empresa que se defende, isso significa que o adversário não precisa ser brilhante; precisa apenas comprar as peças certas.

Vale destacar também o efeito de rede: quanto mais afiliados uma plataforma reúne, mais vítimas ela produz, mais reputação de "pagamento cumprido" acumula e mais fácil fica atrair novos afiliados. É o mesmo ciclo de crescimento de um marketplace legítimo, só que voltado à extorsão — e é por isso que combater o problema exige atacar a economia, não apenas o binário do malware.

O ecossistema de apoio: IABs, negociadores e sites de leak

Ao redor das plataformas RaaS orbita uma cadeia de fornecedores especializados:

  • Initial Access Brokers (IABs): corretores de acesso inicial. Vendem, em fóruns criminosos, credenciais válidas, sessões de VPN, acessos RDP e webshells já plantadas. É aqui que a credencial vazada vira o vetor número um: o afiliado compra uma porta de entrada pronta em vez de arrombá-la.
  • Negociadores: intermediam a conversa com a vítima, calibram o valor do resgate conforme o faturamento da empresa e conduzem a pressão psicológica.
  • Sites de vazamento (leak sites): portais na dark web onde os grupos publicam o nome das vítimas e amostras dos dados roubados, funcionando como vitrine de "prova social" e alavanca de extorsão.
  • Serviços auxiliares: lavagem de criptomoedas, aluguel de infraestrutura à prova de takedown e até "call centers" para assediar clientes das vítimas.

Reduzir a exposição a esse ecossistema — sobretudo às credenciais que os IABs comercializam — é uma das defesas de maior retorno, e é onde a prevenção de vazamento de dados (DLP) e o monitoramento de credenciais expostas fazem diferença direta.

Dupla e tripla extorsão

A extorsão evoluiu muito além de "criptografar e cobrar". Hoje ela se organiza em camadas:

  • Extorsão simples: criptografia dos dados e cobrança pela chave de decriptação. Backups bons já resolvem boa parte.
  • Dupla extorsão: antes de criptografar, os atacantes exfiltram os dados e ameaçam publicá-los. Aqui o backup não basta — o vazamento continua sendo uma alavanca mesmo que a empresa restaure tudo.
  • Tripla extorsão: adiciona pressão externa — ataques de DDoS, contato direto com clientes, parceiros e imprensa, e até ameaças de denúncia a órgãos reguladores para explorar o risco de multa por vazamento (no Brasil, a exposição perante a LGPD e a ANPD).

A migração para dupla e tripla extorsão é o motivo pelo qual "temos backup" deixou de ser uma resposta suficiente. O dado que sai da empresa não volta.

Grupos notórios (exemplos históricos)

Alguns nomes ajudam a ilustrar o modelo — vale lembrar que marcas surgem, são desmanteladas por operações policiais e se reinventam com frequência:

  • LockBit: por anos o RaaS mais prolífico, com programa de afiliados estruturado e um dos maiores volumes de vítimas antes das ações de takedown internacionais.
  • ALPHV/BlackCat: notável por ter sido escrito em Rust e por um episódio de "exit scam" que evidenciou a instabilidade das relações operador–afiliado.
  • Cl0p, Play, Akira e RansomHub, entre outros, ocuparam o vácuo deixado por operações derrubadas, muitas vezes herdando os mesmos afiliados.

A lição não é decorar nomes, e sim entender que a marca é descartável e o método é estável. Defender-se contra o método vale mais do que perseguir a marca da vez.

A cadeia de ataque, fase a fase

Apesar da variedade de grupos, o roteiro operacional de um ataque RaaS é notavelmente consistente:

  1. Acesso inicial: credencial vazada/comprada de um IAB, phishing ou exploração de serviço exposto (VPN/RDP sem MFA, aplicação vulnerável).
  2. Estabelecimento e escalada: instalação de ferramentas de acesso remoto, roubo de credenciais adicionais e obtenção de privilégios de administrador.
  3. Movimento lateral: navegação pela rede em busca de servidores de arquivos, backups e o Active Directory.
  4. Exfiltração: cópia dos dados sensíveis para infraestrutura do atacante — a munição da dupla extorsão.
  5. Impacto: desativação de backups e ferramentas de segurança e, por fim, a criptografia em massa, seguida da nota de resgate.

Cada fase é uma oportunidade de detecção e contenção — desde que a defesa esteja instrumentada para enxergá-la, tema que aprofundamos na proteção contra ransomware.

Defesas por fase do ataque

A melhor estratégia contra RaaS é assumir que o afiliado vai tentar cada etapa acima e colocar um controle em cada uma. A tabela abaixo mapeia fase por defesa prioritária:

Fase do ataqueDefesa prioritária
Acesso inicial (credencial/phishing)MFA resistente a phishing (passkeys/FIDO2), gestão de exposição e monitoramento de credenciais vazadas, filtragem de e-mail
Estabelecimento e escaladaEDR/XDR com bloqueio, princípio do menor privilégio, remoção de admin local, application allowlisting
Movimento lateralSegmentação de rede, isolamento do Active Directory, restrição de RDP/SMB internos, contas administrativas separadas (tiering)
ExfiltraçãoDLP e inspeção de saída, alertas de transferência anômala, egress filtering, monitoramento de destinos incomuns
Impacto (criptografia)Backups imutáveis 3-2-1 e offline, proteção contra adulteração no EDR, plano de resposta testado, detecção de exclusão de shadow copies

Backups imutáveis e a regra 3-2-1

O backup continua sendo o seguro de vida contra a criptografia, mas só se ele sobreviver ao ataque. A regra 3-2-1 — três cópias, em dois tipos de mídia, com uma cópia fora do ambiente — deve ser reforçada com imutabilidade (cópias que não podem ser alteradas nem apagadas por um período fixo) e isolamento, para que o afiliado que ganhou admin não consiga destruir o backup antes de criptografar. Backup não testado é apenas uma esperança; restauração ensaiada é uma capacidade.

Identidade: o vetor número um

Como a porta de entrada mais comum é uma credencial válida, a identidade é o campo de batalha decisivo. MFA em todo acesso externo, migração para passkeys/FIDO2 (resistentes a phishing), desativação de contas órfãs e monitoramento contínuo de credenciais corporativas expostas em vazamentos cortam o suprimento dos IABs pela raiz.

Detecção e segmentação

EDR/XDR bem configurado transforma o movimento lateral silencioso em ruído detectável. A segmentação de rede impede que uma máquina comprometida vire a rede inteira. Juntos, encurtam a janela entre o acesso inicial e o impacto — que é onde o ataque é vencido ou perdido.

Gestão de exposição e resposta testada

Duas capacidades amarram o conjunto. A primeira é a gestão de exposição: enxergar continuamente o que o atacante vê de fora — serviços publicados, portas abertas, credenciais vazadas e informação de marca em fóruns — para fechar a porta antes que um afiliado a compre de um IAB. A segunda é o plano de resposta testado: papéis definidos, contatos jurídicos e de comunicação prontos, cópias de backup validadas e um manual de decisão para o momento em que os minutos custam caro. Empresas que ensaiam a resposta recuperam a operação em horas ou dias; as que improvisam medem a paralisação em semanas.

Pagar ou não pagar?

A orientação de CISA, ENISA e da maioria das autoridades é não pagar. O pagamento não garante a devolução ou a destruição dos dados, financia diretamente o ecossistema RaaS e marca a empresa como pagadora — atraindo novos ataques. Há ainda risco jurídico: pagar a certos grupos pode implicar violação de sanções internacionais.

Na prática, a decisão é de negócio, tomada com jurídico e liderança, e depende de haver ou não backups viáveis e de qual dado foi exfiltrado. Por isso ela precisa estar prevista antes da crise, dentro de um plano de resposta testado. Quando a negociação for inevitável, ela deve ser conduzida por especialistas — o que discutimos em negociação de ransomware. A regra de ouro: quem decide sob pânico paga caro em todos os sentidos.

Referências

  • CISA — #StopRansomware e o guia conjunto Stop Ransomware Guide (CISA/MS-ISAC).
  • ENISA — Threat Landscape, com ransomware entre as principais ameaças ao ecossistema europeu.
  • ESET / WeLiveSecurity Brasil — relatórios de cenário de ameaças 2025 para a América Latina.

Conclusão

RaaS profissionalizou o crime: o adversário virou um mercado com fornecedores, comissões e marketing. A boa notícia é que o método é previsível — e um método previsível é defensável. Empresas de qualquer porte, de 1 a mais de 100 mil colaboradores, reduzem drasticamente o risco ao cortar o suprimento de credenciais dos IABs, blindar a identidade, tornar os backups imutáveis e ensaiar a resposta antes do incidente.

A Decripte ajuda organizações a mapear sua exposição, monitorar credenciais vazadas e estruturar defesa e resposta contra ransomware de ponta a ponta. Comece grátis pela avaliação de exposição da sua empresa ou conheça nossos planos para proteção e resposta a incidentes contínuas.