Em março de 2024, um afiliado do grupo de ransomware BlackCat publicou uma reclamação em um fórum de cibercrime. Ele havia executado o ataque contra a Change Healthcare, um dos maiores vazamentos de dados do setor de saúde da história dos Estados Unidos, mas nunca recebeu sua parte no pagamento de US$ 22 milhões (cerca de R$ 110 milhões) do resgate. Os operadores do BlackCat ficaram com o dinheiro e desapareceram, chegando inclusive a publicar um falso aviso de apreensão do FBI em seu site de vazamentos para encobrir a saída.

A reclamação soa quase como uma disputa entre contratados. Se deixarmos de lado o componente criminoso, junto com o aparente golpe, o que resta é algo que qualquer executivo reconheceria: acordos comerciais envolvendo cadeias de suprimentos, precificação, concorrência e clientes que esperam obter retorno pelo dinheiro investido. O ransomware moderno opera exatamente sob essa lógica. De fora, porém, ele não parece funcionar dessa maneira.

O que você não vê em um ataque de ransomware

Para um olhar não treinado, os ataques parecem simples: uma invasão acompanhada de uma nota de resgate. Alguém invade o sistema, bloqueia e rouba arquivos críticos, deixa uma exigência de pagamento e aguarda o dinheiro. Direto e aparentemente simples, mas quase sempre incompleto. O impacto ganha as manchetes, enquanto tudo o que tornou o ataque possível permanece “fora de cena”. No entanto, grande parte do que permitiu que a operação fosse bem-sucedida aconteceu justamente onde ninguém estava olhando.

Por trás da “vitrine” do ransomware existe uma espécie de operação no modelo de franquia, ou até uma economia, com mercados de mão de obra e ferramentas, serviços por assinatura, fornecedores, parceiros e até algo semelhante a acordos de nível de serviço entre as partes.

A indústria foi estruturada para que cada participante precise dominar apenas sua função específica. O desenvolvedor responsável por manter a plataforma e a marca nunca precisa interagir diretamente com o ambiente da vítima para lucrar. O afiliado paga uma comissão ou taxa pelo acesso utilizando credenciais que ele próprio obteve. Já o initial access broker, responsável por vender acesso a redes corporativas, muitas vezes sequer precisa saber o que o comprador pretende fazer.

Juntos, os criminosos preparam o terreno para a invasão muito antes da chegada da nota de resgate.

Se uma organização enxergar um incidente de ransomware apenas como uma invasão quase aleatória, suas defesas não levarão em conta o quanto essa ameaça é estruturada, profissionalizada e repetível. E quando uma indústria opera dessa forma, o aumento do volume de ataques se torna inevitável.

Portanto, se uma organização encara um incidente de ransomware apenas como uma invasão quase aleatória que surgiu do nada, suas defesas deixam de considerar o quanto essa ameaça é, na prática, bem financiada, estruturada e iterativa. E sempre que uma indústria se organiza dessa maneira, o volume tende a acompanhá-la.

Dados de detecção da ESET mostram que os casos de ransomware cresceram 13% no segundo semestre de 2025 em comparação com os seis meses anteriores, após um aumento de 30% registrado no primeiro semestre. Ao mesmo tempo, o relatório DBIR 2025 da Verizon apontou um crescimento de 32% para 44% na proporção de vazamentos de dados envolvendo ransomware, enquanto o valor médio dos pagamentos caiu de US$ 150 mil para US$ 115 mil (cerca de R$ 750 mil para R$ 575 mil). Os alvos também estão mudando: uma análise da Mandiant identificou uma movimentação em direção a organizações menores e com defesas menos maduras.

Mais alvos, mais vulneráveis, e resgates menores representam um típico modelo de operação baseado em volume.

eset ransomware detections

Figura 1. Tendência de detecção de ransomware no 1º e 2º semestre de 2025, média móvel de sete dias. Fonte: ESET Threat Report H2 2025.

Como funciona a indústria do ransomware?

Os grupos de ransomware aplicaram a lógica das franquias ao antigo “negócio” da extorsão, distribuindo responsabilidades ao longo do processo. É verdade que o funcionamento interno do chamado ransomware como serviço (RaaS) é muito mais caótico do que o de uma rede de fast food, por exemplo. A coordenação é frouxa, e disputas territoriais são reais e, muitas vezes, públicas. Ainda assim, a lógica por trás do modelo permanece a mesma. Essa indústria vive e morre com base na confiança entre seus participantes e nos incentivos que os mantêm conectados. E, como sabemos, os incentivos costumam moldar resultados mais do que qualquer outro fator.

Não por acaso, o ecossistema está cada vez mais populoso. A competição entre pessoas tende a escalar, passando de indivíduos para famílias, comunidades e até países. No universo digital, cibercriminosos individuais competindo por notoriedade evoluíram para grupos organizados disputando território, o que acabou dando origem a uma rede interconectada de especialistas competindo por participação de mercado. Sem fronteiras e sem burocracia, os cibercriminosos comprimiram em poucos anos um processo que levou décadas para acontecer em indústrias legítimas.

A força policial de diversos países, claro, não permanecem inativas, e operações de desarticulação específicas geram incertezas e custos reais para os grupos criminosos. No entanto, encerrar uma operação em um mercado competitivo não elimina o mercado em si. Enquanto os incentivos continuarem alinhados, a queda de um grupo de ransomware abre espaço para que os sobreviventes disputem seu lugar. Novos grupos cibercriminosos surgem, outros mudam de nome ou formam alianças, clientes escolhem novos fornecedores e playbooks já testados continuam circulando. Até mesmo conflitos internos acabam eliminando os grupos mais fracos, com a competição funcionando exatamente como esperado.

Um exemplo disso aconteceu quando os grupos LockBit e BlackCat foram desmantelados pelas autoridades em 2024. Grande parte de seus afiliados migrou para o RansomHub. Já em 2025, o DragonForce, até então um grupo relativamente menor, atacou os sites de vazamento de vários rivais e derrubou a infraestrutura do próprio RansomHub, que liderava o mercado naquele momento. Com o RansomHub fora do ar, Akira e Qilin absorveram sua participação de mercado.

O padrão se mantém porque a barreira de entrada continua baixa, as ferramentas estão disponíveis como serviço e a mão de obra é tão substituível que a oferta nunca se esgota. As operações de ransomware são estruturadas para escalar independentemente de cada “grupo” individual possuir habilidades excepcionais ou não.

A guerra entre defesa e evasão

Com o passar do tempo, o playbook tradicional do ransomware, baseado em bloquear arquivos e exigir um pagamento, evoluiu para a dupla extorsão, modelo em que os cibercriminosos roubam dados corporativos antes da criptografia e publicam ao menos parte dessas informações em sites especializados em vazamentos.

Hoje, o Federal Bureau of Investigation e a Cybersecurity and Infrastructure Security Agency descrevem rotineiramente o ransomware como um problema de “roubo de dados e extorsão”.

Mas os riscos específicos também mudam rapidamente. Há apenas dois anos, o ClickFix, uma técnica de engenharia social em que uma falsa mensagem de erro induz a vítima a copiar e executar comandos maliciosos, praticamente não aparecia no radar. Hoje, a técnica é amplamente utilizada tanto por agentes estatais quanto por cibercriminosos.

lockbit leak site
Figura 2. Site de vazamentos do LockBit. Fonte: ESET Research.

Essa velocidade de adaptação não surpreende quando entendemos que uma versão desse fenômeno sempre existiu na natureza. Espécies em competição precisam se adaptar continuamente apenas para manter sua posição. Na biologia, isso é conhecido como efeito da Rainha Vermelha. A ideia vem do livro Alice Através do Espelho, de Lewis Carroll, no qual a Rainha Vermelha diz: “é preciso correr o máximo possível para permanecer no mesmo lugar”.

Na segurança digital, isso se reflete diretamente na dinâmica entre ferramentas de defesa e ferramentas criadas para burlá-las.

As soluções de detecção e resposta estendida (EDR), assim como sua evolução, o XDR, tornaram-se fundamentais para identificar atividades realizadas por afiliados de ransomware dentro de redes comprometidas. À medida que essas tecnologias evoluíram, os cibercriminosos responderam criando um mercado clandestino de ferramentas desenvolvidas especificamente para neutralizá-las.

E onde existe mercado, existe produto. Normalmente, muitos deles.

A equipe de pesquisa da ESET monitora cerca de 90 EDR killers em uso ativo. Desses, 54 utilizam a mesma técnica, conhecida como BYOVD (Bring Your Own Vulnerable Driver), que consiste em carregar um driver legítimo, porém vulnerável, para obter privilégios em nível de kernel e desativar a solução de segurança. Nesse modelo, drivers vulneráveis se tornam uma commodity: o mesmo driver aparece em ferramentas diferentes, e a mesma ferramenta migra entre drivers ao longo de campanhas distintas.

O mercado de EDR killers reflete a própria economia do ransomware que ele sustenta. Essas ferramentas voltadas à evasão de defesa são oferecidas junto de serviços de ofuscação baseados em assinatura, atualizados constantemente para permanecer à frente dos mecanismos de detecção. Normalmente, não são os operadores de ransomware que escolhem qual killer utilizar, mas sim os afiliados. A decisão de compra acontece no nível da “franquia”. Quando uma solução defensiva é atualizada, o serviço de ofuscação responde rapidamente. A Rainha Vermelha entra em cena novamente.

O investimento em EDR killers é talvez o sinal mais claro do impacto que ferramentas de detecção causam no modelo de negócios criminoso. Afinal, ninguém cria toda uma categoria de produto destinada a neutralizar algo que não esteja afetando diretamente sua receita.

E as ferramentas anti-EDR podem escalar ainda mais, especialmente porque a IA está reduzindo barreiras de entrada nesse mercado, sem falar na economia do cibercrime como um todo.

Pesquisadores da ESET suspeitam que a IA tenha auxiliado no desenvolvimento de alguns EDR killers. As ferramentas utilizadas pelo grupo Warlock são apenas um exemplo. No ano passado, especialistas da empresa também identificaram o primeiro ransomware baseado em IA, embora ele ainda não tenha sido observado em ataques reais.

Separadamente, outros pesquisadores documentaram o que chamam de “vibeware”: malware assistido por IA, produzido em larga escala e criado para inundar ambientes-alvo com código descartável, na expectativa de que parte dele consiga escapar da detecção.

A barreira para produzir malware caiu a um ponto em que a principal limitação já não é mais a capacidade técnica avançada, mas sim a intenção. Um cenário totalmente alinhado ao que já se observa no ecossistema de cibercrime de forma geral.

Como interpretar o mercado de ransomware

Enxergar o ransomware apenas como um ataque leva à criação de defesas pensadas exclusivamente para ataques. Mas, quando ele é entendido como uma indústria, novas prioridades passam a surgir.

Algumas perguntas importantes que organizações deveriam fazer são: como a dinâmica da Rainha Vermelha está evoluindo entre soluções defensivas e ferramentas criadas para burlá-las? Quais ferramentas, técnicas e procedimentos maliciosos estão circulando atualmente? Sua stack de segurança consegue mitigar um ataque BYOVD utilizando os drivers vulneráveis que hoje estão em circulação? O que acontece no seu ambiente caso um MSP presente na sua cadeia de suprimentos seja comprometido? Quais grupos de ransomware estão mirando ativamente o seu setor e quais EDR killers eles estão utilizando?

Se sua organização não consegue responder a essas perguntas, é possível que, quando o “produto final” dessa indústria chegar até você, grande parte da cadeia já tenha sido executada.

Não é possível prever qual grupo irá atacar, quando isso acontecerá ou qual vetor será utilizado. Mas é possível manter um mapa atualizado sobre para onde os grupos ativos estão se movendo e identificar se algum desses caminhos pode levar até a sua organização.