O universo dos crimes digitais está mais sofisticado do que há alguns anos. Hackers já se comportam como empresas e contratam especialistas de segurança para trabalhos por empreitada. As ofertas para ingressar na atividade criminosa, quase sempre, são disponibilizadas na dark web. Trata-se de um crime organizado.

Mas, segundo pesquisadores da unidade de inteligência da empresa de cibersegurança Sophos, há um acréscimo nessa dinâmica. As ferramentas usadas para o crime, que já eram disponibilizadas no modelo SaaS (Software as a Service), com assinaturas e pacotes fechados a depender do uso, agora já permitem o modelo de licença, onde o comprador consegue determinar como será o uso e adaptar a ferramenta.

Foram identificadas 19 variedades de ransomware disponíveis ou em desenvolvimento em quatro fóruns entre junho de 2023 e fevereiro de 2024. Essas ferramentas, comparadas a armas de fogo baratas importadas que se popularizaram nos EUA nas décadas de 1960 e 1970, oferecem vantagens como baixo custo e dificuldade de rastreamento, atraindo criminosos que buscam independência e menores barreiras de entrada. O preço varia entre US$ 20 e 0,5 bitcoin, aproximadamente US$ 13 mil, com um preço médio de US$ 375.

A principal diferença dessas ferramentas em relação aos modelos de ransomware como serviço é a ausência de afiliados que compartilham os lucros, permitindo que os criminosos mantenham o total arrecadado. Esse modelo de "ransomware junk-gun", como foi denominado pelos pesquisadores, possibilita ataques independentes a pequenas empresas e indivíduos menos preparados para se defender.

Apesar das vantagens percebidas, essas ferramentas apresentam riscos significativos, como a possibilidade de serem defeituosas ou parte de golpes. No entanto, para criminosos aspirantes, esses riscos são muitas vezes aceitáveis, uma vez que a experiência adquirida pode abrir portas para oportunidades mais lucrativas em gangues de ransomware mais estabelecidas.

A eficácia dessas ferramentas ainda é incerta, com pouca infraestrutura disponível para monitoramento por investigadores, e os ataques geralmente não são divulgados publicamente, deixando uma lacuna de inteligência.

O cenário nos fóruns da deep web revela a natureza amadora dessas operações, com usuários trocando guias e manuais sobre como executar ataques de ransomware, indicando uma comunidade que busca aprimorar suas habilidades em um ambiente de baixa supervisão e elevada autonomia.