Ransomware-as-a-Service: o crime que virou negócio e como se proteger em 2025
23 de out. de 2025
Se a cibersegurança já era uma prioridade, atualmente, ela se tornou a linha de defesa mais crítica para a continuidade dos negócios. A ameaça não é mais apenas um grupo isolado de hackers, é uma cadeia de suprimentos de crimes digitais altamente profissionalizada: o Ransomware-as-a-Service (RaaS). Se antes era necessário um arsenal técnico para orquestrar um ataque, hoje desenvolvedores vendem ou licenciam plataformas completas de ransomware e afiliados executam as intrusões em troca de comissão — um espelho sombrio do SaaS. O efeito é direto: mais volume, mais variedade e mais velocidade. Para as empresas brasileiras, isso significa que resiliência operacional (detectar, conter e recuperar) precisa caminhar junto com prevenção.
O que é Ransomware-as-a-Service e por que ele escalou
Ransomware-as-a-Service é um modelo de negócio cibercriminoso em que desenvolvedores criam e fornecem ferramentas (malware, painéis, infraestrutura) e afiliados conduzem os ataques com base em comissão sobre o resgate. A lógica reduz a barreira de entrada para atores com pouca habilidade, mantendo alta a eficiência operacional.
Segundo a Group-IB, o RaaS existe pelo menos desde 2012 e, de lá para cá, passou a operar com documentação, suporte e processos de afiliação. O resultado é um ecossistema antifrágil: quando um grupo cai, outros ocupam o espaço, muitas vezes reaproveitando afiliados e kit de ferramentas.
Dados de 2024–2025 indicam que Ransomware-as-a-Service domina o cenário de ransomware, com grupos desenvolvendo toolkits próprios (para persistência, exfiltração e cifragem) e uma ênfase crescente em extorsão de dados, mesmo sem criptografar tudo. Para 2025, a Kaspersky projeta continuidade do modelo com novas famílias e maior diversidade de alvos.
O retrato de 2025: o que os dados mostram
Os primeiros meses de 2025 reforçaram a industrialização do ecossistema. No 1º trimestre, pesquisas detectaram 11.733 novas variantes de ransomware — quase quatro vezes o observado no 4º trimestre de 2024. Além disso, surgiram três novas famílias no período.
A fotografia global para 2025 ressalta:
RaaS como modelo dominante, com operadores recrutando afiliados e oferecendo kits customizados;
Exfiltração de dados consolidada como componente central da extorsão (“pague resgate ou vazamos”);
Recomposição do mercado após operações policiais: alguns grupos desaparecem, outros assumem os afiliados e seguem a operação.
Um exemplo desse movimento foi a ascensão do RansomHub, identificado em fevereiro de 2024 e associado à atração de ex-afiliados de ALPHV/BlackCat, com foco em exfiltração massiva e exploração de serviços expostos. O caso ilustra a velocidade com que programas de afiliação se reorganizam.
Como um ataque Ransomware-as-a-Service se desenrola na prática
O ciclo típico segue alguns marcos:
Acesso inicial: O afiliado compra credenciais ou explora phishing, serviços remotos mal protegidos (RDP/VPN) e vulnerabilidades pendentes. Especialistas destacam uso de contas válidas e movimento via RDP entre técnicas recorrentes.
Elevação, reconhecimento e desativação de defesas: Já dentro, o atacante coleta privilégios, mapeia backups e tenta desligar EDR/antivírus. Ferramentas legítimas de administração podem ser exploradas para evitar detecção.
Exfiltração e extorsão: Antes de qualquer cifragem, dados sensíveis são copiados para servidores controlados pelo grupo. A ameaça passa a ser “pagamento ou vazamento”, muitas vezes somada a DDoS para pressão. Em 2025, análises destacam o crescimento de extorsões sem criptografia.
Cifragem (opcional) e negociação: Nem toda campanha cifra arquivos; quando cifra, backups imutáveis fazem enorme diferença. Pagar resgate continua desaconselhado, pois não há garantia de destruição dos dados e você estimula o ecossistema.
Portas de entrada e como fechá-las
Phishing e engenharia social. A isca ficou melhor (linguagem, timing, encadeamento de respostas), mas o princípio é o mesmo: induzir clique, coleta de credenciais ou aprovação de MFA. Programas de simulação recorrente e feedback rápido reduzem taxa de clique e tempo de denúncia.
Credenciais expostas/recicladas e MFA fraca. Vazamentos e coleções de senhas alimentam abuso de contas válidas. Sem MFA robusta (com proteção contra prompt bombing e MFA push controlado), o invasor entra pela porta da frente — sobretudo em e-mail, VPN e painéis administrativos.
Superfície de ataque externa. RDP/VPN expostos, aplicações desatualizadas e vulnerabilidades conhecidas permanecem entre os melhores amigos dos afiliados, exigindo redução de exposição, patching por risco e monitoramento contínuo.
Controles que funcionam de verdade
Identidades e acessos “à prova de pressa”: Implemente MFA forte (com proteções antifadiga), privilégios mínimos e segregação de contas (admin ≠ uso diário). Rotacione segredos e use cofres. A cada avanço nesse eixo, credenciais vazadas perdem valor.
Detecção e resposta com telemetria real (EDR/XDR + SIEM + SOAR): A combinação EDR/XDR nos endpoints/servidores, SIEM para correlação e SOAR para automação é o que derruba MTTD/MTTR diante de Ransomware-as-a-Service. Em 2025, a recomendação recorrente é correlação + automação de resposta para frustrar movimentos laterais e isolar máquinas assim que sinais se acumularem.
Backups imutáveis e testados (WORM/air-gap): Não basta ter backup, é preciso que ele seja imutável e fora de alcance do domínio, e que a restauração seja testada. Isso reduz a barganha do criminoso quando há cifragem, encurta o tempo de retomada e dificulta nova extorsão.
Exposição sob controle e patching por risco: Mapeie e feche serviços expostos (RDP/VPN/painéis), priorize correções de alto impacto e monitore variações como, por exemplo, surgimento de programas RaaS buscando vulnerabilidades frescas. Casos como o RansomHub mostram como afiliados incorporam rapidamente novas rotas.
Segurança de e-mail e treinamento contínuo: Proteja o e-mail com filtros, sandbox e DMARC e treine times de forma prática e recorrente (simulações com indicadores e retorno). A meta é reduzir cliques perigosos e tempo de reporte.
Ensaios (tabletop) e playbooks vivos: Ransomware-as-a-Service é maratona de decisão. Ensaiar comitê executivo, jurídico, comunicação e rodar exercícios técnicos encurta decisões críticas (isolar, notificar, restaurar) e alinha LGPD/ANPD.
Métricas que importam para mostrar maturidade
Tempo vale dinheiro: Meça MTTD (detecção) e MTTR (contenção/erradicação) para cenários como ransomware. Acompanhar evolução por tática/técnica ajuda a priorizar casos de uso no SIEM e lacunas de telemetria.
Cobertura de EDR/XDR e qualidade de logs: Endpoints/servidores com EDR/XDR, coleta de AD, e-mail, VPN, WAF, proxy e SaaS. Sem dados, correlação não acontece.
Backups que voltam: Taxa de restauração bem-sucedida e tempo para voltar ao ar (por aplicação). Prove isso mensalmente e registre as lições.
Treinos e aderência a lições aprendidas: Cada tabletop deve gerar gaps com dono e prazo; cada incidente, post-mortem blameless e ajuste de playbook. A maturidade cresce quando a organização aprende rápido.
Próximo passo com a Tecnocomp
Ransomware-as-a-Service é uma ameaça de economia, não de oportunidade isolada. Para responder à altura, as empresas precisam orquestrar pessoas, processos, tecnologia e fazer o básico muito bem. É aqui que a Tecnocomp faz a diferença.
Com mais de 40 anos de expertise, soluções robustas e amplo portfólio, a Tecnocomp integra segurança e infraestrutura para reduzir superfície de ataque e encurtar o tempo de resposta.
Quer sair da estatística e ganhar resiliência? Fale com nossos especialistas e vamos juntos construir um plano sob medida — do endurecimento de identidades à resposta automatizada — para que um afiliado RaaS não defina o destino do seu negócio.