As Guerras de Franquias de Ransomware: Como a Queda nos Pagamentos Está Gerando uma Nova Geração de Cartéis de Cibercrime

Os colapsos do Black Basta e do LockBit provocaram uma reestruturação violenta do ecossistema de RaaS (Ransomware-as-a-Service) . Novos participantes, como o DragonForce, operam como "cartéis" verticalmente integrados, incorporando marketplaces de brokers de acesso diretamente em painéis de afiliados. Isso comprime o tempo entre o acesso inicial e a implantação de ransomware para apenas algumas horas. Em paralelo, a comoditização de ferramentas de evasão de EDR, incluindo "killers" baseados em BYOVD que exploram um driver ainda válido assinado pela Microsoft em 2006, reduziu a barreira de entrada, permitindo que operadores com baixo orçamento derrotem pilhas de segurança corporativas.

Diante deste cenário, defensores devem priorizar a ativação da "Vulnerable Driver Blocklist" (lista de bloqueio de drivers vulneráveis) da Microsoft, que é opt-in . É crucial monitorar os marketplaces de brokers de acesso para identificar exposições organizacionais. Além disso, a inteligência de ameaças precisa mudar o foco de rastrear marcas de ransomware para monitorar indicadores de infraestrutura persistente, como fingerprints SSH compartilhados e o reuso de certificados .