Como o ransomware virou franquia: a economia criminosa que sustenta os ataques digitais
Por trás de cada ataque de ransomware existe uma cadeia produtiva sofisticada — com desenvolvedores, afiliados, corretores de acesso e até acordos de nível de serviço — que funciona como um ecossistema criminoso de escala industrial. Entender essa engrenagem é o primeiro passo para combatê-la.
O crime organizado ganhou um modelo de negócio digital
Quando uma empresa tem seus sistemas paralisados e recebe uma tela de extorsão exigindo criptomoedas, a imagem que vem à mente é a de um hacker solitário em um quarto escuro. A realidade, porém, é radicalmente diferente: por trás daquele ataque existe uma estrutura corporativa criminosa com divisão de tarefas, contratos informais, cadeia de fornecedores e até algo equivalente a acordos de nível de serviço — os famosos SLAs do mundo empresarial legítimo. O ransomware deixou de ser um crime de oportunidade para se tornar uma indústria organizada com lógica de franquia.
Uma cadeia produtiva com papéis bem definidos
A estrutura típica do ecossistema de ransomware moderno divide responsabilidades entre ao menos três perfis distintos. No topo estão os desenvolvedores, que constroem e mantêm a plataforma, a marca e o malware — e lucram sem nunca precisar interagir diretamente com as vítimas. Na linha de frente, os afiliados pagam uma comissão pelo acesso à infraestrutura criminosa e conduzem os ataques propriamente ditos. Há ainda uma terceira figura cada vez mais relevante: os Initial Access Brokers, corretores especializados em invadir redes corporativas e revender esse acesso a outros grupos, muitas vezes sem nem saber qual será o uso final da entrada.
Essa divisão de trabalho tem uma consequência direta: cada participante precisa dominar apenas sua função específica. O afiliado não precisa saber programar malware; o desenvolvedor não precisa saber invadir redes. É a mesma lógica que torna cadeias de suprimentos legítimas eficientes — e que aqui serve ao crime. Segundo análise da ESET publicada no blog WeLiveSecurity, essa especialização cria um mercado com serviços por assinatura, ferramentas comercializadas e até concorrência entre grupos pelo recrutamento dos melhores afiliados.
Números que revelam a escala do problema
Os dados coletados ao longo de 2025 ajudam a dimensionar o fenômeno. As detecções de ransomware cresceram 13% no segundo semestre daquele ano em relação ao primeiro. O relatório DBIR 2025 registrou que vazamentos envolvendo ransomware saltaram de 32% para 44% dos incidentes analisados — quase metade de todas as violações de dados relevantes passa por esse vetor. Ainda que o valor médio dos resgates tenha caído de US$ 150 mil para US$ 115 mil no mesmo período, o volume de ataques compensa amplamente essa retração.
Um caso emblemático da escala possível é o do grupo Akira, surgido em março de 2023 com raízes atribuídas à operação Conti — desarticulada, mas cujos afiliados simplesmente migraram para novas bandeiras. Até março de 2026, o Akira havia reivindicado mais de 1.400 vítimas e arrecadado ao menos US$ 245 milhões em pagamentos de resgate, chegando a figurar como segundo grupo mais ativo do mundo no primeiro trimestre daquele ano, atrás apenas do Qilin. Seu modelo segue a cartilha do setor: dupla extorsão (cifrar e exfiltrar dados simultaneamente), acesso inicial via VPNs sem autenticação multifator e movimento lateral em menos de quatro horas após a entrada na rede.
A corrida armamentista contra as defesas
Se a estrutura organizacional imita o mundo corporativo legítimo, a evolução técnica do ransomware segue uma lógica que pesquisadores comparam à chamada "Rainha Vermelha" — a ideia de que é preciso correr cada vez mais rápido apenas para permanecer no mesmo lugar. À medida que soluções de detecção e resposta em endpoints (EDR/XDR) avançam, os grupos criminosos desenvolvem ferramentas específicas para neutralizá-las. A ESET monitora atualmente cerca de 90 ferramentas do tipo EDR killer, das quais 54 exploram a técnica conhecida como BYOVD (Bring Your Own Vulnerable Driver) — que usa drivers legítimos, porém vulneráveis, para desativar proteções de segurança sem disparar alertas.
Essa adaptação contínua explica por que desarticular um grupo raramente encerra o problema: os afiliados e as ferramentas migram, a marca muda, mas a cadeia produtiva permanece funcional. É a resiliência de um ecossistema, não a fragilidade de uma organização hierárquica tradicional.
O que isso significa para quem precisa se defender
Compreender o ransomware como economia criminosa — e não como ação isolada de indivíduos — muda a abordagem defensiva. Bloquear um único vetor de entrada ou detectar um único malware é insuficiente quando existem corretores vendendo acessos em massa, afiliados especializados em múltiplos setores e desenvolvedores atualizando ferramentas em tempo real. A resposta eficaz exige visibilidade sobre toda a cadeia de ataque: desde a proteção de credenciais e autenticação multifator até a capacidade de detectar movimentos laterais antes que a criptografia seja iniciada.
O ransomware não é mais um problema técnico com solução técnica simples. É um problema de ecossistema — e exige uma resposta à altura dessa complexidade.
Fonte: WeLiveSecurity (ESET) — Os bastidores do ransomware: a engrenagem por trás dos ataques