Ransomware as a Service: Como Criminosos Vendem Ataques por R$ 200
O ransomware deixou de ser arma exclusiva de hackers sofisticados. O modelo Ransomware as a Service (RaaS) permite que qualquer pessoa com R$ 200 e acesso à dark web lance ataques devastadores contra empresas. Entenda como esse mercado funciona, por que PMEs brasileiras são alvos preferenciais e o que fazer para se proteger.
Pontos-Chave deste Artigo
- O Ransomware as a Service (RaaS) permite ataques sofisticados por R$ 200
- De ~20 grupos em 2020 para 150+ em 2026 — o cibercrime se industrializou
- 43% dos ataques miram PMEs — defesas fracas e maior taxa de pagamento
- Backup imutável quebra o modelo de negócio do RaaS: sem pagamento, sem lucro
O Cibercrime Virou um Negócio
Imagine um marketplace. Tem loja de ferramentas, suporte ao cliente, programa de afiliados, termos de serviço e até avaliações de usuários. Agora imagine que esse marketplace vende ransomware. Bem-vindo ao mundo do Ransomware as a Service (RaaS).
O RaaS transformou o ransomware de uma arma de hackers especializados em um produto acessível a qualquer criminoso. Em 2026, existem mais de 150 operações RaaS ativas na dark web — um aumento de 650% em 5 anos. O impacto no Brasil é desproporcional: somos o 3º país mais atacado do mundo e o líder na América Latina.
Como Funciona o Modelo RaaS
O modelo RaaS espelha a estrutura de um SaaS legítimo, com papéis bem definidos:
O Desenvolvedor (Operator)
- Cria o ransomware (código de criptografia, mecanismo de comunicação, sistema de pagamento)
- Mantém a infraestrutura (servidores C2, carteiras de criptomoeda, sites de negociação)
- Oferece painel de controle para afiliados gerenciarem ataques
- Fornece "suporte técnico" e atualizações do malware
- Recebe 20-40% de cada resgate pago
O Afiliado (Attacker)
- Compra ou aluga acesso ao kit RaaS
- Escolhe os alvos e executa a invasão (phishing, exploits, credenciais compradas)
- Implanta o ransomware na rede da vítima
- Negocia o resgate com a vítima
- Recebe 60-80% do resgate
O IAB (Initial Access Broker)
- Vende credenciais de acesso a redes corporativas na dark web
- Preço: US$ 10 a US$ 10.000 por empresa, dependendo do porte e setor
- Afiliados compram acesso pronto em vez de hackear do zero
O Ecossistema RaaS: Como os Atores se Conectam
O ecossistema RaaS é uma cadeia de suprimentos criminosa com especialização de funções. Cada ator se concentra em uma etapa do ataque, aumentando a eficiência e reduzindo o risco individual. Entender essa cadeia é essencial para defender-se em cada ponto.
| Ator | Função | Habilidade Necessária | Remuneração | Risco de Prisão |
|---|---|---|---|---|
| Desenvolvedor RaaS | Cria o ransomware, mantém infraestrutura C2 e leak site | Alta (programação, criptografia, infraestrutura) | 20-40% de todos os resgates | Alto (alvo principal de law enforcement) |
| Afiliado | Executa a invasão e implanta o ransomware | Média (uso de ferramentas prontas) | 60-80% do resgate individual | Médio |
| Initial Access Broker (IAB) | Vende credenciais e acessos a redes corporativas | Média (scanning, phishing, exploits) | US$ 10 — 10.000 por acesso vendido | Baixo-Médio |
| Negociador de resgate | Comunica-se com a vítima, negocia valor e prazo | Baixa (comunicação, psicologia) | Comissão fixa ou % do resgate | Baixo |
| Lavador de criptomoedas | Converte cripto em fiat, ofusca rastros | Média (finanças, blockchain, mixers) | 10-20% do valor lavado | Alto |
| Pentester (Red Team criminoso) | Mapeia rede da vítima, escala privilégios, identifica backups | Alta (hacking avançado) | Fee fixo ou % do resgate | Médio |
Fluxo Operacional de um Ataque RaaS
- IAB escaneia a internet buscando RDPs expostos, VPNs sem MFA e sistemas desatualizados. Compromete credenciais via phishing ou brute force. Vende os acessos em fóruns da dark web por US$ 10 a US$ 10.000
- Afiliado compra o acesso e aluga o kit RaaS do desenvolvedor. Acessa o painel do RaaS, configura o payload (tipo de criptografia, nota de resgate, valor, carteira cripto)
- Pentester criminoso (em operações sofisticadas) mapeia a rede da vítima: identifica Active Directory, servidores de backup, dados sensíveis e pontos de exfiltração
- Exfiltração de dados (em ataques double extortion): dados sensíveis são copiados para servidores do atacante via
Rclone,MEGAou FTP próprio - Desativação de defesas: backups locais são deletados, snapshots VSS são apagados, EDR é desabilitado via ferramentas como Backstab ou BYOVD (Bring Your Own Vulnerable Driver)
- Detonação: ransomware é executado simultaneamente em todos os servidores e estações via GPO, PsExec ou scripts PowerShell
- Negociador comunica-se com a vítima via chat Tor, negocia valor e prazo de pagamento
- Lavador converte o resgate em criptomoeda limpa via mixers e bridge chains, distribui para os participantes
Ponto crítico para a defesa: cada etapa dessa cadeia é uma oportunidade de detectar e bloquear o ataque. MFA no passo 1 bloqueia o IAB. Segmentação no passo 3 limita o mapeamento. Backup imutável no passo 5 torna a exclusão de backups impossível. Monitoramento no passo 4 detecta a exfiltração.
Quanto Custa Lançar um Ataque
| Modelo RaaS | Custo para o Criminoso | Exemplos |
|---|---|---|
| Kit básico (compra única) | US$ 40-200 (R$ 200-1.000) | Kits genéricos na dark web |
| Assinatura mensal | US$ 100-500/mês | Ransomware médio com painel |
| Afiliação (entrada grátis, split de lucro) | Grátis (20-40% do resgate) | LockBit, BlackCat, Play |
| Credencial de acesso (IAB) | US$ 10-10.000 | Credenciais VPN, RDP, M365 |
Faça a conta: por menos de R$ 1.500 (kit + credencial), um criminoso sem conhecimento técnico pode lançar um ataque que rende R$ 50.000-300.000 em resgate. O ROI do cibercrime é absurdamente alto — e é por isso que o número de ataques cresce exponencialmente.
Modelo de Receita do RaaS: Os Números do Cibercrime
Para entender por que o RaaS cresce tão rápido, basta olhar os números de receita. O modelo é estruturado para ser lucrativo em escala, com baixo risco individual e altos retornos.
| Modelo de Receita | Como Funciona | Receita Estimada (por grupo/ano) | Exemplo |
|---|---|---|---|
| Split de resgate (afiliação) | Desenvolvedor recebe 20-40% de cada resgate pago por afiliados | US$ 50M — 500M+ | LockBit (estimado US$ 100M+ em 2023) |
| Assinatura mensal | Afiliados pagam fee mensal pelo acesso ao kit + painel | US$ 1M — 10M | Kits de médio porte na dark web |
| Venda de kit (licença única) | Compra única do código-fonte ou builder | US$ 500K — 5M | Kits básicos, malware modificado |
| Venda de dados roubados | Dados exfiltrados vendidos separadamente na dark web | Variável (US$ 1-50 por registro) | Dados de saúde, financeiros, PII |
| Extorsão contínua | Mesmo após pagar resgate, ameaça de publicar dados persiste | Variável | Tripla extorsão (vítima + clientes da vítima) |
O grupo LockBit, antes de ser parcialmente desarticulado em 2024, havia acumulado mais de US$ 120 milhões em resgates pagos. Com centenas de afiliados ativos, o desenvolvedor recebia 20% de cada pagamento — uma receita estimada de US$ 24M apenas em comissões. Para contexto: muitas empresas de software legítimo não faturam isso.
Grupos RaaS Mais Ativos Contra o Brasil
O Brasil é o 3º país mais atacado por ransomware no mundo e o líder na América Latina. Os grupos abaixo são os mais ativos contra alvos brasileiros em 2024-2026:
| Grupo | Status (2026) | Tática Principal | Setor-Alvo no Brasil | Resgate Médio |
|---|---|---|---|---|
| LockBit 3.0 | Ativo (reconstruído após takedown 2024) | Double extortion via RDP/VPN + criptografia ultra-rápida | Todos os setores, especialmente indústria e serviços | R$ 250K — 25M |
| BlackCat/ALPHV | Parcialmente desarticulado, rebrandings ativos | Ransomware Rust multiplataforma, foco em saúde | Saúde, infraestrutura crítica | R$ 500K — 175M |
| Akira | Ativo e crescendo | Exploração de VPN Cisco sem MFA | PMEs, educação, serviços profissionais | R$ 250K — 25M |
| Black Basta | Ativo | Engenharia social via Teams + Qakbot | Indústria, serviços | R$ 500K — 50M |
| Play | Ativo | Exploits em Exchange e Fortinet | Governo, telecom | R$ 500K — 75M |
| Medusa | Ativo | RDP exposto, phishing com QR code | Governo, educação | R$ 100K — 40M |
| Cl0p | Ativo (em ondas) | Exploração massiva de zero-days (MOVEit, GoAnywhere) | Empresas com software vulnerável (supply chain) | R$ 2,5M — 100M |
Por Que o Brasil é Tão Visado
- Economia digital em expansão: mais empresas online = mais alvos potenciais
- Investimento baixo em segurança: empresas brasileiras investem em média 3-5% do orçamento de TI em segurança (contra 10-15% em países desenvolvidos)
- RDP amplamente exposto: o Brasil tem um dos maiores volumes de portas RDP expostas na internet
- Cultura de pagamento: pesquisas indicam que empresas brasileiras pagam resgate com frequência acima da média global
- Regulação em evolução: LGPD ainda em fase de consolidação de enforcement — multas por violação começaram efetivamente em 2024
Por Que PMEs São o Alvo Preferido
Esqueça a imagem de hackers atacando bancos e governos. O modelo RaaS favorece volume sobre valor — muitos ataques pequenos em vez de poucos grandes.
| Fator | PME | Grande Empresa |
|---|---|---|
| Defesas | Básicas (antivírus, firewall simples) | Avançadas (SOC, EDR, segmentação) |
| Equipe de segurança | Geralmente não tem | Equipe dedicada + CISO |
| Backup imutável | Raramente | Frequentemente |
| Taxa de pagamento | Alta (desespero, sem alternativa) | Baixa (têm DR, negociam) |
| Resgate médio | R$ 50.000-300.000 | R$ 1-50 milhões |
| Risco para o criminoso | Baixo (PME raramente investiga) | Alto (polícia, FBI, seguradoras) |
Para o afiliado RaaS, atacar 100 PMEs que pagam R$ 100.000 cada é mais lucrativo e seguro do que atacar 1 grande empresa que paga R$ 10 milhões mas aciona a polícia federal.
Anatomia de um Ataque RaaS Contra uma PME Brasileira
Reconstrução baseada em padrões documentados por pesquisadores de segurança:
- Dia 0: Afiliado compra credenciais VPN da empresa na dark web por US$ 200 (funcionário reutilizou senha vazada em data breach)
- Dia 1: Acessa a rede via VPN. Mapeia servidores, identifica dados críticos, localiza backups
- Dia 2-3: Desabilita antivírus via GPO. Exfiltra dados sensíveis (para ameaça de vazamento). Deleta backups locais e snapshots de VM
- Dia 4 (sexta-feira à noite): Executa o ransomware. Criptografa servidores de arquivos, ERP, e-mail. Deixa nota de resgate
- Segunda-feira: Empresa descobre que tudo está criptografado. Tenta restaurar backup — foi deletado. Contata o criminoso. Resgate: 3 bitcoins (R$ 1,5 milhão)
Se essa empresa tivesse backup imutável em nuvem, o passo 3 falharia — o criminoso não conseguiria deletar os backups protegidos por Object Lock. Na segunda-feira, em vez de negociar resgate, a empresa estaria restaurando dados.
Estratégia de Defesa Específica Contra RaaS
Defender-se contra RaaS é diferente de defender-se contra um hacker individual. O RaaS opera como uma cadeia de suprimentos — e a defesa precisa atacar cada elo dessa cadeia. Abaixo, um framework de defesa alinhado às etapas do ataque RaaS:
| Etapa do Ataque RaaS | O Que o Atacante Faz | Defesa Recomendada | Custo | Eficácia |
|---|---|---|---|---|
| 1. Acesso inicial | Compra credenciais de IAB ou faz phishing | MFA em tudo, treinamento anti-phishing, fechar RDP público | Baixo | Bloqueia 80%+ dos ataques |
| 2. Reconhecimento | Mapeia rede, identifica servidores e backups | Segmentação de rede, honeypots, monitoramento de anomalias | Moderado | Detecta invasores em dias (vs. semanas) |
| 3. Escalonamento | Escala privilégios, obtém acesso de admin | LAPS, PAM, contas de backup independentes, princípio de menor privilégio | Moderado | Limita dano mesmo com acesso inicial |
| 4. Exfiltração | Copia dados sensíveis para fora da rede | DLP, monitoramento de tráfego de saída, criptografia de dados em repouso | Moderado-Alto | Detecta e bloqueia uploads massivos |
| 5. Destruição de backups | Deleta backups locais, snapshots VSS, backups em nuvem | Backup imutável com Object Lock, air-gap, credenciais separadas | Baixo (DataBackup a partir de R$ 159,90/mês) | 100% — backups imutáveis não podem ser deletados |
| 6. Criptografia | Executa ransomware em todos os sistemas | EDR/XDR, isolamento automático de estações comprometidas | Moderado-Alto | Detecta e contém em minutos |
| 7. Recuperação | Vítima precisa restaurar sistemas | DRaaS com Run Direct (failover em 15-30 min), bare-metal recovery | Moderado | Reduz downtime de semanas para horas |
O ponto de maior custo-benefício na defesa contra RaaS é a combinação de MFA (etapa 1) + backup imutável (etapa 5). MFA bloqueia 80% dos acessos iniciais. Backup imutável garante restauração mesmo quando o ataque passa por todas as outras defesas. Juntos, essas duas medidas custam menos de R$ 200/mês e neutralizam a maioria dos ataques.
Como Se Proteger: O Backup Imutável Quebra o Modelo RaaS
O modelo de negócio do RaaS depende de uma premissa: a vítima não tem alternativa além de pagar. Se a empresa pode restaurar seus dados sem pagar, o ataque não gera lucro. Repita quantas vezes quiser: sem pagamento, sem lucro.
Backup imutável com Object Lock em modo Compliance garante exatamente isso:
- Dados blindados: mesmo com credenciais de admin, o ransomware não pode deletar, criptografar ou alterar backups imutáveis
- Restauração garantida: com dados íntegros no backup, a empresa restaura em horas, não em semanas
- Custo zero de resgate: a empresa não financia o crime organizado e não é marcada como "pagadora"
Combinado com medidas adicionais de proteção — MFA, patches, treinamento, segmentação de rede — o backup imutável transforma o ransomware de ameaça existencial em incidente gerenciável.
Comparativo de Modelos RaaS: Afiliação vs Franquia vs Kit Avulso
O ecossistema RaaS não é monolítico. Existem diferentes modelos de operação, cada um com características distintas de acesso, custo, sofisticação e risco. Entender essas diferenças ajuda a calibrar a defesa de acordo com o tipo de ameaça mais provável para o seu perfil de empresa.
| Característica | Kit Avulso (Compra Única) | Assinatura Mensal | Afiliação (Split de Lucro) | Franquia (Território Exclusivo) |
|---|---|---|---|---|
| Custo de entrada | US$ 40-200 | US$ 100-500/mês | Grátis (seleção) | Grátis (seleção rigorosa) |
| Sofisticação técnica | Baixa (ransomware básico) | Média (painel, criptografia moderna) | Alta (infraestrutura profissional) | Muito alta (suporte dedicado, atualizações) |
| Suporte ao criminoso | Nenhum | FAQ, fórum | Chat, atualizações, painel | Suporte dedicado, treinamento |
| Split do resgate | 100% para o comprador | 100% para o assinante | 60-80% afiliado / 20-40% desenvolvedor | 50-70% franqueado / 30-50% operador |
| Alvo típico | Pessoas físicas, micro empresas | PMEs com defesas básicas | PMEs e médias empresas | Médias e grandes empresas |
| Exemplos | Kits genéricos na dark web | Diversos (menor visibilidade) | LockBit, BlackCat, Play | Operações fechadas (convite) |
| Defesa prioritária | Antivírus + backup básico | MFA + backup imutável | MFA + backup imutável + segmentação + EDR | SOC 24/7 + DRaaS + backup imutável + zero trust |
Para PMEs brasileiras: a maioria dos ataques vem de afiliados usando kits de assinatura ou programas de afiliação. Isso significa que a defesa não precisa ser extremamente sofisticada: MFA + backup imutável + treinamento anti-phishing bloqueiam a grande maioria dos vetores. O investimento é mínimo comparado ao custo de um incidente.
Evolução dos Grupos RaaS: Timeline 2020-2026
O cenário de RaaS muda rapidamente. Grupos são desarticulados, reaparecem com novos nomes, afiliados migram entre operações. A timeline abaixo mostra os marcos mais importantes dos últimos anos e como o ecossistema evoluiu.
| Período | Evento | Impacto no Ecossistema |
|---|---|---|
| 2019-2020 | Ascensão do modelo de dupla extorsão (Maze, Sodinokibi/REvil) | Ransomware evolui de "só criptografar" para "criptografar + vazar dados". ~20 grupos ativos. |
| 2021 | Ataque Colonial Pipeline (DarkSide); Kaseya (REvil). Governos declaram ransomware como ameaça à segurança nacional | Pressão internacional aumenta. REvil é desarticulado temporariamente. Surgem ~50 novos grupos. |
| 2022 | Dissolução do Conti (vazamento interno). Surgem Black Basta, Royal, Akira a partir de ex-membros | Fragmentação: grupos grandes dão lugar a muitos grupos menores. Foco em PMEs aumenta. |
| 2023 | Cl0p ataca via MOVEit zero-day (1.000+ empresas). LockBit domina com 25% dos ataques globais | Supply chain attacks se tornam vetor principal. Ataques em escala industrial. |
| Fev 2024 | Operação Cronos derruba infraestrutura do LockBit (FBI + Europol + NCA) | LockBit se reconstroi em semanas. Afiliados migram para outros grupos. Takedowns são temporários. |
| 2024-2025 | Proliferação de grupos menores. Akira, Medusa e Play crescem. BlackCat faz exit scam (some com US$ 22M) | Ecossistema mais fragmentado e imprevisível. 100+ grupos ativos. |
| 2026 | 150+ operações RaaS ativas. AI usada para phishing personalizado. Brasil é 3o mais atacado. | Barreira de entrada mais baixa que nunca. Volume de ataques em PMEs atinge recorde. |
A lição: takedowns policiais são importantes, mas não resolvem o problema. O ecossistema é resiliente e se adapta. A defesa das empresas precisa ser igualmente resiliente: backup imutável, MFA, conhecimento dos tipos de ransomware e monitoramento do cenário brasileiro são ações contínuas, não pontuais.
Checklist de Defesa em Camadas Contra RaaS
Uma defesa eficaz contra RaaS exige múltiplas camadas. Se uma falha, a próxima compensa. Use este checklist para validar sua postura de segurança.
Camada 1: Prevenção (Bloquear o Acesso Inicial)
- MFA habilitado em todos os acessos remotos (VPN, RDP, e-mail, painel admin)
- RDP desabilitado ou acessível apenas via VPN com MFA
- Patching de vulnerabilidades críticas em até 48 horas
- Treinamento anti-phishing com simulações trimestrais
- Monitoramento de credenciais vazadas (dark web monitoring)
Camada 2: Detecção (Identificar o Invasor na Rede)
- EDR/XDR em todos os endpoints e servidores
- Monitoramento de anomalias de rede (tráfego de saída incomum)
- Alertas para tentativas de escalonamento de privilégio
- Segmentação de rede para limitar movimentação lateral
Camada 3: Proteção de Dados (Garantir Recuperação)
- Backup imutável com Object Lock para todos os dados críticos
- Credenciais de backup completamente separadas do domínio
- Regra 3-2-1-1-0 implementada
- Testes de restauração mensais documentados
- Plano de disaster recovery testado trimestralmente
Camada 4: Resposta (Agir Quando o Ataque Acontecer)
- Plano de resposta a incidentes documentado e treinado
- Runbook de restauração com prioridade de sistemas
- Comunicação de crise pré-definida (clientes, reguladores, ANPD)
- Template de DR preenchido e validado
A implementação completa de todas as camadas é o ideal, mas se o orçamento for limitado, comece pela Camada 1 (MFA) e Camada 3 (backup imutável). Essas duas camadas sozinhas neutralizam a maioria dos ataques RaaS contra PMEs.
O Que Fazer Agora
- Ative backup imutável hoje. A DataBackup inclui Object Lock em modo Compliance em todos os planos — a partir de R$ 159,90/mês.
- Implemente MFA em tudo. 80% dos ataques RaaS usam credenciais roubadas — MFA bloqueia a maioria.
- Teste restaurações. Garanta que seus backups automáticos realmente funcionam antes de precisar deles.
- Treine a equipe. Phishing é o vetor nº 1. Simulações trimestrais reduzem o risco em 70%.
- Tenha um plano de DR. Quando (não se) o ataque acontecer, sua equipe precisa saber exatamente o que fazer.
O RaaS industrializou o cibercrime. A resposta das empresas precisa ser igualmente sistemática: backup imutável, criptografia, monitoramento e plano de continuidade. O custo de se proteger é uma fração do custo de ser atacado.
O crime se industrializou — sua defesa também precisa ser profissional. Backup imutável com Object Lock, criptografia AES-256 e monitoramento 24/7 na DataBackup. Teste 14 dias grátis.
Proteger Minha Empresa Falar com Especialista