Menu Fechar

42. RaaS em 2025: Como o Ransomware como Serviço evoluiu e ameaça empresas brasileiras

Ricardo Yassutaro 0 comentários
Hacker operando ransomware em ambiente cibernético

🧨 O que é RaaS e por que ele se tornou mais perigoso em 2025

O modelo Ransomware como Serviço (RaaS) representa a evolução mais preocupante do ransomware no cenário atual da cibersegurança. Em vez de exigir conhecimentos avançados em programação ou redes, qualquer indivíduo pode hoje alugar um “kit” de ataque completo na dark web e lançar ofensivas devastadoras contra empresas e instituições — tudo por meio de plataformas que funcionam como verdadeiros marketplaces do crime.

Em 2025, esse modelo tornou-se ainda mais acessível, lucrativo e difícil de rastrear. Os grupos que operam ransomware passaram a usar o modelo SaaS como inspiração: oferecem dashboards, painéis de controle e suporte técnico ao “cliente” que contrata o serviço. Assim, cibercriminosos com pouca ou nenhuma habilidade técnica conseguem aplicar golpes sofisticados com apenas alguns cliques.

📎 Por que o RaaS está dominando o cibercrime

  • Baixo custo de entrada e alta lucratividade para afiliados.
  • Criptomoedas e anonimato tornam rastreamento quase impossível.
  • Automação de scripts e payloads torna os ataques mais rápidos e personalizados.

Segundo o relatório mais recente da Check Point Research, o número de ataques por ransomware aumentou 27% no primeiro semestre de 2025, com destaque para América Latina. O Brasil está entre os cinco países mais afetados por esse tipo de ameaça. As variantes LockBit 3.0, Akira e Black Basta são hoje distribuídas por afiliados de RaaS em campanhas que chegam via e-mail, RDP aberto ou engenharia social no WhatsApp.

O grande atrativo para os operadores de RaaS é o modelo de divisão de lucros. Os afiliados recebem até 80% do resgate pago, enquanto os desenvolvedores da plataforma ficam com o restante. Essa estrutura “franquia” do cibercrime gera um ecossistema próspero e difícil de desmantelar.

O ransomware deixou de ser uma ameaça isolada para se tornar um serviço globalizado, industrializado e apoiado por estruturas semelhantes às de empresas legítimas — incluindo suporte técnico, atualizações frequentes e até sistemas de reputação entre criminosos.

O RaaS em 2025 mostra que o ransomware não é mais apenas uma ameaça técnica — é um modelo de negócio rentável operando nas sombras da economia digital.

🚨 Panorama Atual: os maiores ataques RaaS no Brasil e no mundo

O ano de 2025 tem sido marcado por uma nova onda de ataques envolvendo ransomware operado via RaaS. Grupos sofisticados atuam com precisão cirúrgica em setores críticos como saúde, energia, bancos e educação. No Brasil, hospitais públicos, redes de clínicas e prefeituras tornaram-se alvos recorrentes, com sequestros de dados e exigência de pagamentos milionários em criptomoedas.

Entre os ataques mais impactantes, destaca-se o caso do Grupo LockBit 3.0, que paralisou os sistemas da Secretaria de Saúde de São Paulo por mais de 72 horas, afetando agendamentos de exames e sistemas de prontuário eletrônico. Segundo o CERT.br, mais de 200 municípios relataram tentativas ou incidentes confirmados de ransomware somente no primeiro trimestre de 2025.

📎 Grupos mais ativos em 2025

  • BlackCat (ALPHV): conhecido por usar código Rust, dificulta detecção e atua em infraestrutura crítica.
  • Akira: tem focado em empresas de médio porte no Brasil e Chile, com campanhas por e-mail falso de órgãos federais.
  • Cl0p: especializado em ataques baseados em vazamentos de dados antes da criptografia.

Na esfera internacional, os ataques à University of Health System nos EUA e ao grupo de energia elétrica na França causaram grande repercussão. Os invasores não apenas criptografaram arquivos, mas ameaçaram divulgar dados confidenciais caso os resgates não fossem pagos — prática conhecida como “dupla extorsão”.

A tendência em 2025 é que os ataques sejam mais direcionados, com estudo prévio da estrutura da vítima. O ransomware se tornou mais modular e adaptável, com versões exclusivas geradas por cada afiliado de RaaS. Além disso, os grupos mantêm páginas na dark web divulgando quais empresas foram atacadas e o tempo restante antes de publicarem os dados vazados.

As campanhas de ransomware também ganharam versões por meio de spear phishing altamente personalizado, deepfakes de voz em português e uso de arquivos ISO e OneNote maliciosos. A profissionalização dos ataques exige um novo nível de vigilância das empresas brasileiras.

O cenário de 2025 comprova: ransomware não é mais exceção — é uma rotina no radar da segurança cibernética corporativa.

🕵️‍♂️ Telegram, Dark Web e IA: como os cibercriminosos operam hoje

Em 2025, a cadeia operacional do ransomware evoluiu para um modelo altamente organizado e distribuído. Grupos que atuam com Ransomware como Serviço (RaaS) utilizam ferramentas comuns do nosso cotidiano para coordenar ataques globais com eficiência assustadora. Entre elas, destacam-se o Telegram, a dark web e até mesmo a inteligência artificial generativa, que vêm sendo exploradas tanto para automatizar ataques quanto para burlar sistemas de defesa.

📎 Infraestrutura moderna do cibercrime

  • Telegram: canais privados com kits de ransomware prontos, suporte técnico e recrutamento de afiliados.
  • Dark Web: fóruns e lojas de exploits com dashboards de RaaS “premium” e reputação entre atacantes.
  • IA Generativa: usada para criar e-mails de phishing realistas, scripts maliciosos e voice deepfakes.

O Telegram substituiu fóruns tradicionais por oferecer criptografia ponta a ponta, canais anônimos e facilidade de acesso. Grupos como LockBit, MedusaLocker e Akira mantêm canais com atualizações diárias, tutoriais e promoções para novos afiliados. Muitos utilizam bots de automação para distribuir payloads, monitorar pagamentos em cripto e até responder dúvidas em tempo real.

Na dark web, o modelo RaaS funciona como uma franquia do crime digital. Plataformas como “RaaS Market X” oferecem opções de ataque sob demanda com preços variando por tipo de alvo, idioma da vítima e sistema operacional. Esses painéis incluem funções como geração de executáveis, templates de extorsão e sistemas para upload de dados roubados.

A integração com IA generativa tornou o ransomware ainda mais eficaz. Ataques de phishing usam GPTs personalizados para gerar e-mails sem erros gramaticais, com contexto realista e vocabulário adaptado ao setor da vítima. Em alguns casos, a IA é usada para testar múltiplas variações de scripts, escapando de antivírus comportamentais.

Outra tendência preocupante é o uso de deepfakes de voz para engenharia social via telefone. Cibercriminosos clonam a voz de executivos e solicitam transferências de acesso ou reset de senhas, burlando autenticações humanas com precisão assustadora.

O ransomware em 2025 deixou de ser apenas uma ameaça digital — tornou-se um ecossistema alimentado por IA, anonimato e redes descentralizadas.






🧬 Como funciona um ataque RaaS do início ao fim

Um ataque via Ransomware como Serviço (RaaS) é altamente estruturado e segue um fluxo preciso que reflete a profissionalização do cibercrime em 2025. O ransomware não é mais executado de forma improvisada: ele é planejado, testado e executado com técnicas avançadas que envolvem múltiplas fases — da intrusão inicial à extorsão final.

📎 Etapas de um ataque RaaS moderno

  • Reconhecimento: coleta de dados da empresa alvo por redes sociais, motores de busca e fontes públicas (OSINT).
  • Intrusão inicial: via phishing, credenciais vazadas, exploits de RDP ou vulnerabilidades não corrigidas.
  • Movimentação lateral: escalonamento de privilégios e mapeamento da rede interna com ferramentas como Mimikatz.
  • Payload: execução do ransomware em múltiplas máquinas simultaneamente, com exclusão de backups locais.
  • Extorsão e negociação: apresentação de nota de resgate com exigência em criptomoeda e, em muitos casos, ameaça de vazamento de dados.

Durante o reconhecimento, os afiliados do RaaS analisam ativos expostos da empresa, como subdomínios, VPNs vulneráveis ou acesso remoto sem autenticação multifator. Muitas vezes utilizam ferramentas como Shodan ou Censys para identificar brechas.

Na fase de intrusão, o e-mail de phishing continua sendo o vetor mais comum, agora reforçado por IA para personalização. Anexos com extensões .iso, .lnk ou arquivos OneNote contendo macros maliciosas são cada vez mais usados para burlar filtros de segurança.

Após o acesso inicial, o atacante executa scripts para explorar lateralmente a rede, procurando controladores de domínio, servidores de backup e estações-chave. O ransomware só é acionado após o controle completo da infraestrutura, aumentando o impacto.

O payload criptografa arquivos, altera extensões e exibe uma nota de resgate personalizada. Alguns grupos usam sites .onion com chats anônimos para negociação direta com a vítima, oferecendo até “provas” de que os dados serão excluídos após o pagamento.

Em 2025, a maioria dos ataques RaaS adota o modelo de dupla extorsão: primeiro criptografa os dados, depois ameaça vazá-los publicamente. Alguns grupos ainda adicionam uma terceira fase: ataques DDoS para forçar o pagamento.

Com um ciclo automatizado e modular, o ransomware como serviço se transformou em uma verdadeira operação de guerra digital.

🛡️ Principais falhas exploradas em 2025 e como evitá-las

O sucesso dos ataques de ransomware em 2025 está diretamente ligado às falhas básicas de segurança que ainda persistem nas empresas — muitas vezes por negligência, falta de atualização ou desconhecimento. Grupos que operam via RaaS aproveitam essas brechas com facilidade, explorando vulnerabilidades já documentadas ou falhas de configuração comuns em ambientes corporativos e públicos.

📎 Falhas críticas mais visadas por operadores de RaaS

  • Acesso remoto exposto: RDP, VPNs e VNCs sem autenticação multifator são alvos prioritários.
  • Credenciais vazadas: reutilização de senhas expostas em bancos de dados públicos.
  • Atualizações atrasadas: servidores com falhas conhecidas (CVE) não corrigidas.

O ransomware se propaga facilmente por ambientes onde o acesso remoto é mal configurado. Em 2025, muitos ataques no Brasil ainda começam por portas RDP (Remote Desktop Protocol) abertas para a internet sem MFA. Os criminosos utilizam varreduras automatizadas com ferramentas como Masscan ou Nmap para encontrar esses acessos.

Outro ponto crítico é a exposição de credenciais corporativas em vazamentos anteriores. Listas obtidas na dark web ou via serviços como Have I Been Pwned são usadas em ataques de força bruta ou phishing direcionado, muitas vezes com sucesso.

Vulnerabilidades não corrigidas também figuram entre os maiores riscos. Ataques recentes exploraram falhas conhecidas como CVE-2024-4483 (em servidores de e-mail) e CVE-2024-9271 (em appliances de rede), todas com correções disponíveis há meses. Isso mostra que a ausência de gestão de patches é um vetor recorrente de ransomware.

Para mitigar esses riscos, especialistas recomendam:

  • Implementar autenticação multifator (MFA) para todos os acessos remotos e administrativos.
  • Utilizar soluções de gerenciamento de senhas e forçar senhas únicas e fortes.
  • Manter inventário atualizado de ativos e aplicar patches em até 48 horas após a liberação.
  • Executar auditorias regulares e escaneamentos de vulnerabilidades internos e externos.

Evitar ransomware começa por corrigir o básico. O erro mais comum em 2025 não é falta de firewall, mas de atenção às falhas previsíveis.

💰 O papel das seguradoras e a polêmica do pagamento de resgates

À medida que os ataques de ransomware se tornam mais frequentes e devastadores, cresce também o número de empresas que contratam seguros cibernéticos como parte de sua estratégia de gestão de riscos. Em 2025, o mercado global de ciberseguros movimenta bilhões e já influencia diretamente decisões críticas durante incidentes — incluindo a controversa possibilidade de pagamento de resgates.

📎 O que dizem as seguradoras sobre o ransomware

  • Algumas apólices cobrem pagamento de resgates, sob critérios rígidos.
  • Outras cobrem apenas custos de resposta ao incidente, sem negociação com criminosos.
  • Negociações assistidas por peritos e advogados especializados são cada vez mais comuns.

Empresas como AXA e Allianz já manifestaram posicionamentos distintos sobre o tema. Algumas seguradoras deixaram de cobrir o pagamento de resgates, argumentando que isso incentiva o ecossistema do ransomware. Outras ainda autorizam em casos extremos, sob avaliação jurídica e operacional.

No Brasil, apólices de cibersegurança passaram a incluir cláusulas específicas sobre sequestro de dados e extorsão digital. Porém, o pagamento depende da comprovação de que todas as alternativas de restauração foram esgotadas, e exige autorização expressa da seguradora — além da notificação obrigatória à ANPD em caso de vazamento de dados pessoais.

Essa prática levanta um debate ético: pagar o resgate fortalece grupos criminosos, mas não pagar pode comprometer vidas humanas, operações críticas e milhões em prejuízo. Algumas empresas optam pelo pagamento como forma de evitar paralisação prolongada ou escândalos de exposição pública.

Além disso, grupos de RaaS utilizam ferramentas que identificam se a vítima possui seguro, e ajustam o valor do resgate de acordo com a cobertura percebida. Isso gerou uma nova tendência: o “targeting” seletivo baseado em dados de mercado e presença de seguros cibernéticos.

Para evitar essa dependência, especialistas recomendam que o ciberseguro seja apenas um complemento a uma política robusta de prevenção e resposta. Depender dele como linha principal de defesa pode ser perigoso.

Seguros cibernéticos podem ajudar na resposta, mas jamais devem ser vistos como solução primária contra ransomware. A verdadeira defesa está na prevenção.






🧰 Ferramentas e estratégias para prevenção e resposta a incidentes

Diante do avanço do ransomware como uma ameaça sistêmica e constante, empresas em 2025 precisam ir além do antivírus tradicional. A defesa eficaz contra Ransomware como Serviço (RaaS) depende de uma combinação de ferramentas tecnológicas, práticas de ciberhigiene e processos bem definidos de resposta a incidentes. O foco deve ser a antecipação, detecção rápida e capacidade de contenção imediata.

📎 Ferramentas essenciais para combater ransomware

  • EDR e XDR: soluções modernas como SentinelOne, CrowdStrike e Microsoft Defender para identificar e bloquear movimentos laterais.
  • Backups isolados (air-gapped): armazenamento offline e criptografado com restauração testada periodicamente.
  • Honeypots: armadilhas digitais que detectam atividades anômalas antes que o ransomware se espalhe.

O uso de EDR (Endpoint Detection and Response) tornou-se padrão em ambientes corporativos modernos. Em 2025, soluções como SentinelOne, CrowdStrike e Microsoft Defender for Endpoint oferecem detecção baseada em comportamento, análise de ameaças em tempo real e resposta automatizada.

Backups seguros continuam sendo a última linha de defesa mais confiável contra ransomware. É fundamental manter cópias criptografadas, protegidas contra sobrescrita, em ambientes distintos da rede principal. Soluções como Veeam, Acronis e Wasabi são líderes nesse segmento, com suporte a restauração granular e alertas de anomalia.

Além disso, ferramentas como honeypots (servidores falsos) permitem detectar atividades maliciosas antes que se espalhem, funcionando como sistemas de alarme silencioso. Empresas especializadas como Cymulate e Thinkst oferecem honeypots prontos para ambientes Windows e Linux.

Na dimensão organizacional, planos de resposta a incidentes devem ser mantidos atualizados, com responsabilidades claras, simulações anuais e contatos de emergência. As diretrizes do NIST Cybersecurity Framework e os requisitos da LGPD devem ser considerados.

Capacitação contínua é indispensável. Campanhas de phishing simulado, cursos de boas práticas e treinamentos gamificados ajudam a criar uma cultura interna de prevenção contra ransomware.

Não existe defesa infalível, mas há muitas formas de estar preparado. Quem investe em prevenção reduz drasticamente o impacto de um ataque.

🔮 Como se preparar para o futuro do RaaS: resiliência e antecipação

O cenário de ransomware em 2025 é apenas o início de uma transformação mais profunda no ecossistema do cibercrime. Ransomware como Serviço (RaaS) continuará evoluindo, adotando novas tecnologias, diversificando vetores de ataque e ampliando seu alcance a pequenas e médias empresas. Para sobreviver a esse novo ciclo, organizações precisam abandonar a lógica puramente reativa e adotar uma postura de resiliência cibernética.

📎 Fundamentos da preparação contra o ransomware do futuro

  • Cultura de segurança: todos os setores devem entender os riscos e boas práticas, não apenas o time de TI.
  • Zero Trust: restringir acessos ao mínimo necessário, com verificação constante de identidade e comportamento.
  • Threat Intelligence: consumo de feeds atualizados e inteligência colaborativa com outras empresas do setor.

Segundo relatórios da CISA e da ENISA, a previsão é que o ransomware se torne ainda mais customizado, com IA ajudando a automatizar ataques em tempo real. Softwares legítimos continuarão sendo abusados em ataques Living Off The Land (LotL), tornando a detecção mais difícil.

Empresas resilientes serão aquelas que simularem ataques reais com frequência (via Red Team), testarem backups em produção e tiverem canais claros de comunicação durante incidentes. Ferramentas de tabletop simulation e testes de recuperação (DRP) são obrigatórias nesse novo cenário.

Além disso, a preparação passa pela segurança por design: softwares, infraestruturas e aplicações devem ser desenvolvidos com foco em proteção desde o início. DevSecOps, hardening automatizado e SAST/DAST devem fazer parte do pipeline contínuo.

Outra recomendação é fortalecer parcerias com provedores de nuvem, fornecedores de segurança e grupos de resposta coordenada. Em situações de ataque, tempo e colaboração fazem a diferença entre recuperação e colapso.

Por fim, o futuro exige visão de negócio alinhada à proteção digital. O ransomware continuará buscando brechas não apenas técnicas, mas organizacionais. Empresas que se antecipam e estruturam sua defesa com inteligência terão mais chances de sobreviver — e prosperar.

O futuro do ransomware será imprevisível. A melhor defesa será sempre a preparação constante e a capacidade de resposta rápida.

💡 Recomendações

📚 Gostaria de se aprofundar neste assunto?
Ransomware: Understand. Prevent. Recover. – Allan Liska

A melhor segurança para o seu note pessoal:
💉 Kaspersky Antivirus
🔒 Proton VPN

👉 Leia nossos outros artigos!

💬 Converse com a gente!

O que você achou deste artigo sobre ransomware? Deixe seus comentários, dúvidas, sugestões ou críticas. Sua opinião é essencial para continuarmos produzindo conteúdos relevantes e úteis para a comunidade de TI!

Ricardo Yassutaro
Follow me
Latest posts by Ricardo Yassutaro (see all)
Publicado emSegurança da Informação, Ciberataques, Cibersegurança

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Artigos relacionados

Tagged , , , , , , , , ,