O que é ransomware como serviço (RaaS)?

Seguinte
Guilherme Arruda

O que é ransomware como serviço (RaaS), como funciona o modelo criminoso, quais grupos operam e como proteger sua empresa.

 

O Ransomware como Serviço (RaaS) é uma modalidade criminosa na qual grupos especializados disponibilizam toda a infraestrutura necessária para a execução de ataques, incluindo os próprios códigos maliciosos, projetados para contornar sistemas de segurança. Quem contrata esse serviço são os chamados afiliados: criminosos que não precisam saber programar nem montar qualquer estrutura técnica, pois tudo já está pronto para uso. Basta acessar a plataforma e colocá-la em operação.

A lógica de funcionamento se assemelha à de qualquer serviço por assinatura. O afiliado paga pelo acesso e passa a contar com ferramentas atualizadas, suporte operacional e painéis de controle para acompanhar os ataques em andamento. Os grupos criminosos estruturaram seus negócios com base no mercado legítimo de tecnologia, replicando desde a experiência do usuário até os modelos comerciais.

O que cada grupo oferece e como cobra por isso varia bastante dentro desse ecossistema. Os recursos descritos a seguir consolidam o que diferentes operadores disponibilizam aos seus afiliados e não correspondem necessariamente à oferta de um único grupo, trata-se de uma visão ampla do que esse mercado criminoso tem a oferecer.

 

Como funciona o ransomware como serviço (RaaS)?

Após entender o conceito de ransomware como serviço (RaaS), é fundamental analisar como esse modelo opera na prática. Diferente dos ataques tradicionais, o RaaS introduz uma lógica de escala e especialização, permitindo que diferentes agentes atuem em etapas específicas do ataque.

Estrutura do ecossistema criminoso

O funcionamento do RaaS se baseia em uma divisão clara de papéis, que torna as operações mais eficientes e difíceis de rastrear:

  • Desenvolvedores (operators): criam o ransomware, mantêm a infraestrutura e atualizam constantemente o código para evitar detecção por soluções de segurança.
  • Afiliados: são responsáveis por executar os ataques. Eles exploram vulnerabilidades, realizam campanhas de phishing ou utilizam credenciais comprometidas para acessar sistemas corporativos.
  • Intermediários de acesso (initial access brokers): em muitos casos, vendem acessos já comprometidos a redes corporativas, acelerando o processo de invasão.

Essa estrutura fragmentada contribui para a profissionalização do cibercrime, criando uma cadeia de valor semelhante à de mercados legítimos.

Etapas de um ataque com RaaS

Embora possa variar entre grupos, um ataque baseado em ransomware como serviço (RaaS) geralmente segue um fluxo bem definido:

  1. Acesso inicial: invasores exploram falhas de segurança, phishing ou credenciais vazadas.
  2. Movimentação lateral: o criminoso se desloca pela rede para identificar sistemas críticos.
  3. Exfiltração de dados: informações sensíveis são copiadas antes da criptografia.
  4. Criptografia dos sistemas: arquivos são bloqueados para interromper operações.
  5. Extorsão: a vítima recebe a exigência de pagamento, muitas vezes com ameaça de vazamento de dados (dupla extorsão).

Esse modelo aumenta significativamente a pressão sobre as vítimas, elevando as chances de pagamento.

Painel Lockbi Linux/ESXI. Fonte

 

Painéis e suporte ao afiliado

Um dos diferenciais do RaaS é o nível de “maturidade” das plataformas utilizadas pelos criminosos. Muitos grupos oferecem:

  • Painéis de controle com métricas de infecção e status dos ataques
  • Suporte técnico para afiliados, incluindo tutoriais e atendimento direto
  • Atualizações frequentes do malware para contornar novas defesas
  • Ferramentas automatizadas de negociação com vítimas

Esse nível de organização reforça a ideia de que o ransomware como serviço opera como um verdadeiro modelo de negócio, ainda que ilegal.

Páginas de suporte do grupo Qilin. Fonte

 

Como os grupos de ransomware como serviço (RaaS) lucram?

O ransomware como serviço (RaaS) se consolidou como um modelo altamente lucrativo ao replicar estratégias do mercado legítimo de tecnologia, especialmente no que diz respeito à monetização. Nesse ecossistema, os desenvolvedores do ransomware estruturam suas operações para maximizar ganhos ao mesmo tempo em que atraem afiliados com diferentes níveis de experiência, criando um ambiente acessível e escalável para o cibercrime.

Na prática, o modelo mais comum dentro do ransomware como serviço (RaaS) é a divisão de lucros. Nesse formato, os afiliados são responsáveis por conduzir os ataques, enquanto os operadores fornecem toda a infraestrutura necessária. Quando o resgate é pago, o valor é dividido entre as partes, com percentuais que podem variar conforme o grupo e o nível de suporte oferecido. Essa lógica incentiva a expansão das operações, já que quanto maior o número de ataques bem-sucedidos, maior o retorno financeiro para todos os envolvidos.

Além disso, alguns grupos de ransomware como serviço (RaaS) adotam modelos complementares de monetização, como cobrança por assinatura para acesso às plataformas, taxas fixas pelo uso do malware ou até custos adicionais por serviços específicos, como personalização de campanhas ou suporte técnico prioritário. Essa diversidade de formatos amplia o alcance do modelo e facilita a entrada de novos afiliados no ecossistema criminoso.

Outro fator que potencializa os lucros no ransomware como serviço (RaaS) é a evolução das estratégias de extorsão. O que antes se limitava à criptografia de arquivos passou a incluir a chamada dupla extorsão, na qual os dados da vítima são exfiltrados antes do bloqueio dos sistemas. Dessa forma, mesmo que a empresa consiga restaurar seus backups, ainda existe o risco de exposição pública de informações sensíveis. Em cenários mais avançados, alguns grupos adotam a tripla extorsão, adicionando novas camadas de pressão, como ataques de negação de serviço ou contato direto com clientes e parceiros da organização afetada.

Exemplo de site de vazamento de dados (World Leaks).

 

O uso de criptomoedas também desempenha um papel central nesse modelo, permitindo que os pagamentos sejam realizados com maior grau de anonimato e dificultando o rastreamento por autoridades. Esse fluxo financeiro ajuda a dimensionar o tamanho do problema. Estimativas recentes indicam que, ao considerar todos os fluxos ilícitos associados ao ecossistema de ransomware como serviço (RaaS), incluindo transferências entre grupos e serviços de suporte, o volume movimentado atingiu cerca de USD 1,3 bilhão em 2025, uma leve queda em relação aos USD 1,9 bilhão registrados no ano anterior. Ainda assim, os valores permanecem expressivos e demonstram a resiliência desse modelo criminoso.

Esse cenário se torna ainda mais evidente quando analisado sob a perspectiva individual de grupos específicos. O grupo Akira, por exemplo, teria acumulado aproximadamente USD 150 milhões em pagamentos de resgate apenas em 2025, reforçando como operações bem estruturadas dentro do ransomware como serviço (RaaS) conseguem atingir níveis elevados de faturamento mesmo em um ambiente de maior pressão por parte de autoridades e empresas de segurança.

 

Quem são os principais alvos do ransomware como serviço (RaaS)?

O avanço do ransomware como serviço (RaaS) ampliou significativamente o perfil de vítimas, deixando de se concentrar apenas em grandes corporações e passando a atingir empresas de diferentes portes e setores. Isso acontece porque o modelo permite a execução de ataques em escala, facilitando a atuação de afiliados que exploram desde organizações com baixa maturidade em segurança até ambientes corporativos mais estruturados. Na prática, qualquer empresa que dependa de dados e sistemas digitais pode se tornar alvo.

Alguns setores, no entanto, são especialmente visados no contexto de ransomware como serviço (RaaS), como saúde, indústria, varejo e serviços financeiros, devido ao alto impacto operacional em caso de interrupção. Além disso, empresas de médio porte têm se tornado alvos frequentes por combinarem capacidade de pagamento com defesas muitas vezes insuficientes, enquanto ataques via cadeia de suprimentos ampliam o alcance dos criminosos ao comprometer múltiplas organizações a partir de um único ponto de entrada.

 

Como se proteger contra ransomware como serviço (RaaS)?

Proteger uma empresa contra ransomware como serviço (RaaS) não depende apenas de tecnologia avançada, mas de decisões simples bem aplicadas no dia a dia. Isso porque grande parte dos ataques ainda começa por caminhos conhecidos, como um e-mail de phishing, uma senha fraca ou um sistema desatualizado. Em outras palavras, reduzir riscos muitas vezes está mais ligado à disciplina operacional do que à complexidade das ferramentas.

Manter sistemas atualizados, ativar a autenticação em duas etapas e limitar acessos internos já elimina uma parcela significativa das brechas exploradas por afiliados de ransomware como serviço (RaaS). Da mesma forma, ter backups atualizados e fora do alcance da rede principal pode ser o fator decisivo entre uma recuperação rápida e um prejuízo significativo.

Ao mesmo tempo, contar com uma solução de segurança confiável faz toda a diferença para identificar comportamentos suspeitos e bloquear ameaças antes que elas se concretizem. Ferramentas com capacidade de detecção em tempo real e análise comportamental ajudam a interromper ataques ainda nas fases iniciais, quando o impacto pode ser contido.

Outro ponto que faz diferença real é o comportamento das pessoas. Funcionários bem orientados conseguem identificar tentativas de golpe antes que elas se transformem em incidentes. Em um cenário em que o ransomware como serviço (RaaS) se tornou acessível e escalável, empresas que combinam boas práticas, tecnologia adequada e conscientização saem na frente, não por serem imunes, mas por serem muito mais difíceis de explorar.