Hoje, ataques cibernéticos não demandam mais conhecimento técnico avançado — basta ter dinheiro (ou criptoativos). Isso se deve à consolidação de um modelo de negócios perigoso e eficiente: o Cibercrime como Serviço (Cybercrime-as-a-Service, ou CaaS).

Esse modelo transformou o crime cibernético em um ecossistema modular e profissionalizado, onde tudo pode ser contratado: malware, credenciais, acessos, infraestrutura, suporte técnico, e até meios para dificultar a detecção. Nesse mercado subterrâneo, ransomware, phishing e infostealers são apenas a ponta visível de uma indústria bilionária.

Neste artigo, exploramos como funciona esse mercado clandestino, o que pode ser adquirido nele, e como a inteligência de ameaças (CTI) ajuda a mapear, entender e antecipar riscos ligados ao CaaS.

O que é Cybercrime como Serviço?

CaaS é a comercialização de ferramentas de software, recursos de infraestrutura e outros serviços voltados para atividades criminosas. Ele conceitualmente replica a lógica de SaaS (Software as a Service), mas para o submundo digital.

Assim como você assina uma ferramenta corporativa online, criminosos assinam pacotes para:

• Infectar dispositivos com malware
• Roubar credenciais
• Lançar campanhas de phishing
• Invadir redes corporativas
• Automatizar golpes de engenharia social
• Monetizar dados roubados

O crime digital deixou de ser um ato isolado para se tornar uma cadeia de suprimentos, onde cada ator desempenha um papel específico, com especializações, reputação e suporte técnico.

Os componentes do ecossistema CaaS

Dentro dessa economia paralela, encontramos diversos modelos “as-a-service”, cada um com seu papel:

Malware-as-a-Service (MaaS)

Malwares prontos para uso (stealers, ransomwares, trojans), oferecidos sob licença, com atualizações e painéis de controle.

Exemplo: RedLine, Lumma, Raccoon — infostealers vendidos por assinatura com suporte pelo Telegram e ou com painéis de gerenciamento

Initial Access Brokers (IABs)

Especialistas em invadir redes corporativas e vender esse acesso para outros atores, como grupos de ransomware.

Exemplo: acesso RDP a uma empresa com 5 mil funcionários vendido por US$ 5.000 em fórum clandestino.

Infrastructure-as-a-Service

Provedores de infraestrutura maliciosa: hospedagem anônima, servidores C2 prontos, certificados digitais fraudulentos ou até redes para o redirecionamento da conexão das vítimas por caminhos variados na Internet de modo a dificultar a análise de profissionais que estejam avaliando o tráfego.

Muitos desses serviços aceitam criptoativos e são operados em regiões com pouca cooperação internacional.

Phishing-as-a-Service (PhaaS)

Kits de phishing prontos, painéis de coleta de credenciais e automação de campanhas (e-mail, SMS, redes sociais).

Exemplo: serviços que incluem templates customizados de login de bancos, geração de QR codes maliciosos e encurtadores legítimos.

Como o CTI atua para monitorar e mitigar riscos ligados ao CaaS

O papel da Cyber Threat Intelligence é essencial para entender o funcionamento desse ecossistema, antecipar tendências e proteger organizações contra ameaças emergentes. Aqui estão algumas formas de atuação:

Monitoramento de fóruns e marketplaces clandestinos

• Identificar novas ferramentas e serviços à venda
• Mapear atores recorrentes e suas especializações
• Acompanhar movimentações e os anúncios de IABs identificando tendências e padrões nos seus alvos

Perfis de ameaça baseados em comportamento

• Associar técnicas vendidas com grupos ou campanhas ativas
• Detectar padrões de venda e exploração por geografia ou setor

Antecipação de campanhas

• Observar kits e templates sendo preparados para datas específicas (Black Friday, impostos, eleições)
• Rastrear palavras-chave e infraestrutura sendo montada

Integração com defesa técnica

• Fornecer IoCs, amostras e táticas para alimentar regras de detecção (SIEM, EDR, NDR)
• Mapear TTPs recorrentes com frameworks como MITRE ATT&CK

Exemplo prático: o ciclo do crime como serviço

1. Um Initial Access Broker invade uma empresa de logística e vende esse acesso em um fórum.
2. Um grupo de ransomware compra o acesso o usa para disseminar um Infostealer de modo a roubar credenciais.
3. Com as credenciais, realizam movimento lateral e extraem dados.
4. Usam serviço de criptografia para empacotar o payload final.
5. Após o ataque, vendem os dados roubados em outro fórum e contratam campanhas de phishing para monetizar as credenciais coletadas.

Esse é o poder da modularidade do CaaS: um mesmo ataque pode envolver 4 ou 5 grupos distintos, cada um com seu papel.

Conclusão

O cibercrime moderno não é mais improvisado. Ele opera como uma economia paralela estruturada, com ofertas, demanda, reputação e suporte técnico.

Compreender o CaaS é entender por que defesas genéricas e estáticas não funcionam mais.

A boa notícia é que, com visibilidade e inteligência, é possível antecipar esses movimentos e desorganizar essa cadeia — antes que ela chegue à sua empresa.

Quer entender como o CTI da Resonant pode fortalecer sua defesa contra esse ecossistema de ameaças? Clique aqui e fale com um especialista