Criminalidade como Serviço: A Evolução da Economia Criminosa Digital

Introdução

No cenário digital contemporâneo, o cibercrime passou por uma transformação profunda. O que antes era visto como a atividade isolada de hackers ou grupos pequenos, movidos por paixão, curiosidade ou desafios técnicos, agora se apresenta como um mercado estruturado e altamente lucrativo. Esse fenômeno é conhecido como Criminalidade como Serviço (CaaS). Inspirado em modelos legí­tim­os de negócios – como o “Software como Serviço” (SaaS) – o CaaS consiste na oferta de ferramentas, infraestrutura e conhecimento especializado para a prática de delitos virtuais por intermédio de marketplaces na dark web.

Essa transformação tem implicações significativas, pois democratiza o acesso ao cibercrime, permitindo que indivíduos com conhecimentos técnicos limitados possam contratar ou utilizar serviços que antes estavam restringidos a especialistas. Ao longo deste artigo, exploraremos os fundamentos do CaaS, como ele evoluiu, quais tecnologias o viabilizam, as principais modalidades existentes, e os impactos econômicos e sociais decorrentes dessa transformação. Além disso, apresentaremos estudos de caso que ilustram a aplicação prática desses serviços e discutiremos estratégias de defesa e as futuras tendências deste campo.

A proposta deste artigo é oferecer uma visão detalhada e didática sobre o CaaS, de modo que tanto profissionais da área quanto leitores não técnicos possam compreender os desafios e as oportunidades que surgem nesse novo cenário da criminalidade digital.

A Evolução do Cibercrime: Do Hacker Solitário ao Modelo de Serviços

Nas primeiras décadas da computação, o cibercrime era frequentemente uma atividade solitária. Hackers agiam de forma isolada, motivados pelo desafio de descobrir e explorar vulnerabilidades em sistemas computacionais. Muitas vezes, esses indivíduos eram vistos como “exploradores” da tecnologia, testando limites e, em alguns casos, demonstrando habilidades impressionantes. Contudo, a motivação inicial de muitos desses hackers não era a obtenção de lucro, mas a curiosidade e o desafio.

Com o passar do tempo, porém, o cibercrime começou a assumir uma nova dimensão. A criação de fóruns clandestinos na deep web possibilitou o intercâmbio de informações e a comercialização de dados roubados, ferramentas de hacking e técnicas de invasão. Esse ambiente colaborativo permitiu que a expertise fosse compartilhada e que surgissem parcerias entre indivíduos com diferentes especializações. Entre os anos de 2010 e 2015, fatores como a proliferação de criptomoedas – que possibilitaram transações financeiras anônimas – e o aprimoramento das infraestruturas digitais na dark web propiciaram o surgimento de um mercado escalável, estruturado e altamente organizado.

No contexto do CaaS, o cibercrime deixou de ser uma atividade pontual para se transformar em um serviço, tal como empresas legítimas oferecem assinaturas para softwares e outras soluções. Essa mudança significa que os criminosos hoje podem “comprar” ou “alugar” ferramentas avançadas para realizar ataques, sem a necessidade de desenvolver os códigos ou montar estruturas complexas. É uma evolução que rompeu barreiras, permitindo que até indivíduos com conhecimentos básicos de informática possam participar desse mercado ilícito. Essa nova configuração não só ampliou o número de potenciais atacantes, mas também aumentou a sofisticação e o volume dos ataques, trazendo desafios inéditos para a segurança digital.

Infraestrutura e Tecnologias Habilitadoras

No coração do CaaS está uma infraestrutura robusta, construída para garantir anonimato e segurança tanto para os prestadores quanto para os consumidores desses serviços ilícitos. A principal arma para manter essa proteção é a dark web, uma parcela da internet acessível apenas por softwares específicos, como o Tor. Essa parte da rede foi intencionalmente criada para proporcionar anonimato, fazendo com que as identidades dos usuários sejam ocultadas por meio do roteamento dos dados por vários servidores ao redor do mundo.

Além do Tor, várias tecnologias complementares fortalecem essa infraestrutura. As criptomoedas desempenham um papel crucial nesse cenário. Moedas como o Bitcoin e, mais notoriamente, o Monero, são usadas para realizar transações financeiras sem revelar a identidade das partes envolvidas. Essas moedas oferecem o que muitos chamam de “pseudoanonimato”, permitindo que os criminosos efetuem pagamentos com um baixo risco de serem rastreados pelos órgãos de segurança.

Outro elemento essencial são os serviços de mixers e tumblers. Esses serviços funcionam embaralhando os fundos provenientes de diferentes origens, o que dificulta muito o rastreamento de transações financeiras ilícitas. Em outras palavras, após a realização de um pagamento, o dinheiro passa por várias transformações que o “limpam”, tornando muito complicado para qualquer investigação descobrir de onde ele provém.

Além disso, os cibercriminosos utilizam VPNs (Redes Privadas Virtuais) e proxies em cascata para mascarar seus endereços IP. Essa técnica consiste em direcionar a conexão por vários servidores intermediários, de forma que a origem real do acesso permaneça oculta. Outro recurso bastante utilizado é o emprego de botnets – redes formadas por computadores infectados que servem como “frotas” de proxies, aumentam a complexidade dos ataques e dificultam a identificação dos responsáveis. Por fim, os servidores bullet‑proof garantem que a hospedagem de sites e serviços ilícitos ocorra em jurisdições onde a cooperação com investigações internacionais é limitada ou inexistente.

Essa combinação de tecnologias – que vai desde o uso de redes anônimas até transações financeiras criptografadas – permite que o CaaS opere de forma eficiente e segura. Mesmo para um leitor não técnico, pode ser pensado como um “pacote completo” que ajuda os criminosos a operar sem se preocupar com a interceptação por agentes de segurança.

Principais Modalidades e Serviços

Com a consolidação do modelo de Criminalidade como Serviço, diversas modalidades de ataques cibernéticos passaram a ser oferecidas como serviços. Essa abordagem permite que quem desejar realizar um ataque não precise se preocupar em desenvolver as ferramentas do zero. As três principais modalidades analisadas a seguir são:

Malware‑as‑a‑Service (MaaS)

No contexto do MaaS, os criminosos disponibilizam códigos maliciosos – ou malwares – como se fossem produtos em um catálogo. Um exemplo bastante conhecido dentro dessa modalidade é o Ransomware‑as‑a‑Service (RaaS). Nesse modelo, grupos especializados desenvolvem ransomware e, em seguida, oferecem o seu uso por meio de programas de afiliados. Esses afiliados, que podem ser indivíduos sem profundo conhecimento técnico, realizam os ataques, e os lucros – os resgates pagos pelas vítimas – são divididos entre os desenvolvedores e os operadores dos ataques. Geralmente, os desenvolvedores retêm cerca de 20–30% dos resgates, enquanto os demais 70–80% fluem para os afiliados. Essa divisão permite que o serviço seja lucrativo para todos os envolvidos, e que o ransomware seja constantemente atualizado para escapar dos sistemas de segurança.

Além do ransomware, outras vertentes do MaaS incluem o Infostealers‑as‑a‑Service. Ferramentas como essas são responsáveis pelo roubo de credenciais, senhas e informações pessoais, sendo comercializadas como softwares prontos para uso. Essa facilidade de acesso a códigos maliciosos contribui para a proliferação dos ataques, pois mesmo quem possui pouca experiência pode “comprar” uma ferramenta já pronta para invadir sistemas.

Phishing‑as‑a‑Service (PhaaS)

Outro serviço bastante difundido é o Phishing‑as‑a‑Service (PhaaS). O phishing é uma técnica de engenharia social que utiliza e-mails falsos, páginas de login fraudulentas e outros artifícios para obter informações confidenciais dos usuários, como senhas e dados bancários. No modelo PhaaS, os criminosos comercializam kits de phishing que incluem templates prontos e até mesmo a hospedagem das páginas falsas. Esses kits são desenhados para imitar com alta fidelidade os sites de instituições legítimas, o que dificulta a detecção por parte das vítimas e dos sistemas de segurança.

O serviço é oferecido a preços acessíveis, de forma que até um usuário sem grandes conhecimentos técnicos possa contratar uma campanha de phishing. Esse tipo de serviço é especialmente perigoso em um país onde o acesso à internet se expandiu de forma rápida, e muitos usuários ainda não estão suficientemente alertados sobre as armadilhas do ciberespaço.

Denial‑of‑Service‑as‑a‑Service (DDoSaaS)

O Denial‑of‑Service‑as‑a‑Service (DDoSaaS) consiste na oferta de ataques de negação de serviço por meio do aluguel de botnets. Um ataque DDoS é planejado para sobrecarregar um servidor ou rede com uma quantidade extrema de tráfego, de forma a tornar o serviço indisponível para os usuários legítimos. No DDoSaaS, o interessado adquire o serviço e, mediante pagamento, obtém acesso a uma rede de dispositivos comprometidos, que então são utilizados para lançar o ataque.

A vantagem desse modelo é que o cliente não precisa reunir a infraestrutura necessária para realizar o ataque – basta contratar o serviço, que pode ser cobrado por hora ou segundo, conforme a intensidade desejada. Essa modalidade mostra como o CaaS torna complexas operações técnicas em serviços “consumíveis” que qualquer pessoa pode adquirir.

Observação Geral: Embora a literatura sobre o tema mencione outras modalidades, como Fraud‑as‑a‑Service ou Social Engineering‑as‑a‑Service, neste artigo optamos por focar nos três modelos mais referenciados pelas fontes selecionadas, que são os que mais demonstram o funcionamento e a organização do mercado do CaaS.

Impactos Econômicos e Sociais

Os impactos econômicos do CaaS são expressivos e se fazem sentir tanto em nível global quanto nacional. Estudos internacionais sugerem que o custo do cibercrime já atinge cifras expressivas – trilhões de dólares anualmente –, e esse cenário só tende a piorar com o avanço das tecnologias de ataque. No Brasil, o impacto é igualmente preocupante, já que setores como o financeiro, a saúde, a infraestrutura e as pequenas e médias empresas sofrem com as consequências dos ataques cibernéticos.

Além dos custos diretos – como os pagamentos de resgates, gastos com recuperação e investimentos em cibersegurança – há perdas indiretas que podem ser devastadoras, tais como a perda de produtividade, danos à reputação corporativa e a erosão da confiança dos consumidores. Em um contexto onde a digitalização dos serviços aumenta continuamente, a vulnerabilidade dos sistemas e a frequência dos ataques impõem desafios que se refletem em prejuízos financeiros e, por vezes, em impactos socioeconômicos mais amplos.

Esses impactos vão além dos números contábeis, afetando a forma como empresas e governos se posicionam frente a uma ameaça que não respeita fronteiras. O aumento de incidentes cibernéticos reforça a necessidade de repensar estratégias de defesa e incentivar uma cultura de segurança digital que integre os diversos atores do ecossistema – do usuário final às instituições governamentais.

Estudos de Caso: Criminalidade como Serviço em Ação

Para ilustrar a operacionalidade do CaaS, alguns estudos de caso ajudam a explicar como essas modalidades são aplicadas na prática:

Ransomware‑as‑a‑Service: O Caso REvil

Um dos exemplos mais emblemáticos do modelo RaaS é o grupo REvil, também conhecido como Sodinokibi. Atuando desde 2019, o grupo desenvolveu um sistema de afiliados que possibilita a distribuição de seu ransomware a terceiros. No modelo adotado, os desenvolvedores do malware retêm uma porcentagem dos valores de resgate – geralmente entre 20% e 30% – enquanto os afiliados, que realizam efetivamente os ataques, recebem o restante dos lucros.

Esse modelo de negócio permitiu que o REvil impactasse grandes corporações em ataques de alto valor, chegando a ocasionar prejuízos multimilionários. Casos de ataques a empresas de grande porte, como aqueles que envolveram resgates milionários ou interrupções significativas em operações empresariais, evidenciam a eficácia e a escalabilidade do modelo RaaS. Para o público não técnico, pode ser entendido como um serviço por assinatura, onde o “produto” é o malware e o “cliente” é o operador do ataque.

Phishing‑as‑a‑Service: O Ecossistema 16Shop

Dentro da modalidade PhaaS, um exemplo notório é o ecossistema gerenciado por serviços como o 16Shop. Esse serviço fornece aos criminosos kits completos para a realização de campanhas de phishing, incluindo desde a criação de páginas de login fraudulentas até a hospedagem e manutenção dessas páginas. O diferencial está na facilidade de uso: mesmo usuários com conhecimento técnico limitado podem montar uma campanha eficaz, replicando páginas de instituições legítimas com alta fidelidade.

Estudos divulgados em matérias brasileiras demonstraram que campanhas utilizando o 16Shop foram capazes de comprometer centenas de milhares de credenciais de usuários em um curto período de tempo, ilustrando o potencial destrutivo dos ataques baseados em phishing. Essa modalidade mostra como a engenharia social – a habilidade de manipular pessoas para obter informações confidenciais – se torna ainda mais prejudicial quando apoiada por tecnologias e serviços especializados.

Denial‑of‑Service‑as‑a‑Service: Exemplos de Ataques DDoS

Os ataques de negação de serviço (DDoS) são, por si só, uma ameaça conhecida à estabilidade de serviços online. No modelo DDoSaaS, a facilidade de acesso a botnets – redes de computadores comprometidos – permite que qualquer pessoa com recursos financeiros mínimos lance ataques massivos e coordenados. Esse serviço é vendido de maneira “sob demanda”, com valores que podem ser calculados por hora ou pelo volume de tráfego gerado.

Um exemplo claro do impacto dos ataques DDoS ocorreu em situações de interrupção de serviços críticos, onde o acesso a um site ou plataforma online foi bloqueado por longos períodos. Esse cenário é especialmente danoso para empresas que dependem da continuidade de seus serviços digitais para operar, demonstrando como a oferta desse tipo de serviço contribui para a vulnerabilidade de toda a cadeia econômica digital.

Estratégias de Defesa e Mitigação

Diante da evolução do CaaS e do impacto causado por suas diversas modalidades, é imprescindível a adoção de estratégias de defesa que abranjam diferentes níveis: desde as organizações até os usuários individuais, bem como medidas jurídicas e regulatórias.

Abordagem Corporativa

Para empresas e instituições, proteger-se contra o CaaS requer um conjunto de defesas técnicas e estratégicas:

• Defesas Técnicas: Investir em arquiteturas de segurança robustas, como o modelo Zero Trust, que assume que nenhuma parte da rede é automaticamente confiável, é fundamental. A autenticação multifator (MFA) e a microsegmentação de redes ajudam a limitar o acesso e a reduzir os danos em caso de invasão. Além disso, a implementação de sistemas avançados de detecção – como EDR (Endpoint Detection and Response), UEBA (User and Entity Behavior Analytics) e SIEM (Security Information and Event Management) – possibilita a identificação precoce de comportamentos suspeitos e ataques emergentes.

• Monitoramento e Inteligência: Realizar monitoramento contínuo das atividades na dark web e de vazamentos de dados pode antecipar ataques ou expor vulnerabilidades que estão sendo utilizadas pelo mercado do CaaS. O uso de tecnologias de inteligência artificial para analisar grandes volumes de dados e identificar padrões anômalos é uma das tendências para fortalecer a defesa de redes corporativas.

• Treinamento e Conscientização: Investir em programas de treinamento para colaboradores – com simulações de phishing e exercícios práticos – ajuda a aumentar a vigilância da equipe e reduzir a probabilidade de falhas humanas que possam comprometer a segurança.

Defesa Individual

A segurança não é responsabilidade exclusiva das empresas; os usuários individuais também desempenham um papel fundamental na proteção dos dados pessoais. Algumas medidas eficazes incluem:

• Higiene Digital: Utilizar senhas complexas, exclusivas para cada serviço, e adotar autenticação em duas etapas são práticas essenciais. A atualização constante de softwares, sistemas operacionais e aplicativos garante que as vulnerabilidades conhecidas sejam corrigidas rapidamente.

• Comportamento Crítico: Desenvolver uma postura cética com relação a e-mails, mensagens e comunicações inesperadas é uma estratégia simples, mas eficaz. Sempre que possível, verificar URLs e confirmar a veracidade de solicitações sensíveis por canais alternativos pode evitar que informações confidenciais sejam comprometidas.

• Backup e Proteção de Dados: Realizar backups regulares e armazená-los de forma segura garante que, mesmo em caso de ataque, dados importantes possam ser recuperados, minimizando os impactos causados por vazamentos ou sequestramentos.

Abordagens Jurídicas e Regulatórias

Além das medidas técnicas e comportamentais, é essencial o aprimoramento da legislação e da cooperação internacional para combater o CaaS:

• Legislação Específica: Desenvolver marcos legais que criminalizem explicitamente a oferta e a facilitação dos serviços do CaaS é fundamental para combater esse mercado. A responsabilização de intermediários e facilitadores pode criar um ambiente mais inibidor para os criminosos.

• Cooperação Internacional: O cibercrime transcende fronteiras. Portanto, a colaboração entre países e a harmonização de leis cibernéticas são imprescindíveis para efetivar investigações e garantir que criminosos não se escondam em “paraísos digitais”. Instrumentos de assistência jurídica mútua e operações conjuntas entre agências de segurança são medidas essenciais nesse sentido.

• Regulamentação das Criptomoedas: Uma vez que as criptomoedas desempenham um papel central nas transações do CaaS, estabelecer requisitos rigorosos de identificação (KYC – Know Your Customer) e mecanismos de rastreamento pode dificultar a utilização desses meios para financiar atividades ilícitas.

Tendências e Evolução Futura

À medida que as tecnologias avançam, o mercado do CaaS também está em constante evolução. Algumas tendências emergentes que provavelmente moldarão o futuro desse modelo incluem:

• Integração com Tecnologias Avançadas: A inteligência artificial (IA) e o aprendizado de máquina já estão começando a ser incorporados nas ferramentas disponíveis para cibercriminosos. Essa integração pode gerar malwares adaptativos, que ajustam seu comportamento de acordo com o ambiente em que se encontram, e campanhas de phishing hiperpersonalizadas, capazes de identificar e explorar vulnerabilidades específicas de cada alvo.

• Expansão para Novas Superfícies de Ataque: O crescimento da Internet das Coisas (IoT) – com bilhões de dispositivos conectados – cria um novo campo de vulnerabilidades. Dispositivos mal protegidos, desde câmeras de segurança até eletrodomésticos inteligentes, podem ser integrados a botnets e utilizados para lançar ataques ou roubar dados. Da mesma forma, a adoção crescente de serviços em nuvem e as tecnologias blockchain geram novos desafios e oportunidades para os cibercriminosos.

• Modelos de Assinatura e Especialização de Mercado: Assim como acontece com serviços legítimos, é provável que os cibercriminosos aperfeiçoem seus modelos comerciais, oferecendo diferentes níveis de serviços – desde pacotes básicos, que atendem a pequenos atacantes, até ofertas premium destinadas a operações de grande escala. Essa segmentação pode aumentar ainda mais a sofisticação dos serviços e exigir respostas igualmente especializadas por parte dos defensores.

• Padronização e “Certificação” nos Mercados Ilícitos: Embora possa soar paradoxal, alguns estudos sugerem que no ambiente dos cibercriminosos já se inicia uma tendência à padronização, onde reputação e “certificações” internas – baseadas em avaliações e histórico de transações – são utilizadas para garantir a qualidade dos serviços. Isso torna o mercado ainda mais profissional e competitivo, aumentando a pressão sobre os mecanismos de defesa.

Conclusão

O fenômeno do Crime-as-a-Service representa uma transformação radical no modo como o cibercrime é operado. Ao converter ataques complexos em serviços “consumíveis” e acessíveis, o CaaS amplia significativamente o número de potenciais atacantes e cria desafios sem precedentes para a segurança digital. A evolução desse modelo evidencia como o mercado ilícito tem se profissionalizado, adotando estruturas similares às de empresas legítimas, com modelos de assinatura, divisão de funções e investimentos em tecnologia avançada.

Diante desse cenário, é imprescindível que organizações e governos adotem estratégias integradas de defesa, combinando investimentos em tecnologia, treinamento de pessoal e o aprimoramento do marco regulatório. Ao mesmo tempo, a conscientização dos usuários individuais e a promoção de higienes digitais básicas são fatores determinantes para mitigar riscos e reduzir o impacto de ataques.

O futuro do CaaS aponta para uma integração mais estreita com tecnologias emergentes, a ampliação das superfícies de ataque e a segmentação dos serviços ofertados. Para acompanhar essa evolução, a colaboração entre o setor público e o privado será essencial, bem como a constante adaptação das estratégias de defesa e a implementação de reformas legais que dificultem o funcionamento desses mercados ilícitos.

Em última análise, enfrentar o Crime-as-a-Service requer uma abordagem multidimensional que envolva tecnologia, processos, pessoas e políticas públicas. Somente com essa resposta integrada será possível limitar os impactos econômicos, sociais e políticos decorrentes da escalada do cibercrime e garantir um ambiente digital mais seguro e resiliente para todos.

Referências

Referências no Brasil

• Cibercrime como serviço: o negócio dos hackers URL: https://www.menosfios.com/cibercrime-como-servico-o-negocio-dos-hackers/

• CaaS: conheça o mercado do Crime as A Service URL: https://www.menosfios.com/caas-conheca-o-mercado-do-crime-as-a-service/

• Democratização do cibercrime: compreendendo MaaS e infostealers URL: https://www.menosfios.com/democratizacao-do-cibercrime-compreendendo-maas-e-infostealers/

Referências Globais

• The Rise of Cybercrime-as-a-Service: Implications and Countermeasures URL: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4959188

• Ransomware e Cibercrime-as-a-Service: Porque a cibersegurança precisa ser flexível e contínua URL: https://www.darkreading.com/threat-intelligence/ransomware-e-cibercrime-as-a-service-porque-a-ciberseguranca-precisa-ser-flexivel-e-continua

• The Rise of Cybercrime-as-a-Service: Implications and Countermeasures (IJFMR) URL: https://www.ijfmr.org/articles/the-rise-of-cybercrime-as-a-service-implications-and-countermeasures