Imagine abrir o Telegram no fim do dia e, entre grupos de trabalho e mensagens pessoais,encontrar um canal que oferece acesso a ambientes corporativos expostos, painéis administrativos, VPNs e serviços remotos, spyware móvel e toolkits de intrusão e pós-exploração, tudo com preço tabelado, suporte “técnico” e atualizações frequentes.
O que poderia parecer um cenário extremo hoje é parte da rotina de um ecossistema clandestino em plena expansão, em que o cibercrime opera como um negócio estruturado, com catálogos de produtos, intermediação de acesso e especialização em cada etapa da cadeia.
Neste artigo, vamos mostrar como o modelo de crime como serviço está se consolidando em plataformas como o Telegram, por que isso torna ataques complexos muito mais acessíveis e o que essa industrialização do ataque muda, na prática, para a superfície de risco das empresas, especialmente quando credenciais e identidades passam a ser tratadas como mercadoria digital.
Um dos modelos de crime como serviço (Crime-as-a-Service – CaaS) vem se consolidando rapidamente em plataformas como o Telegram, transformando o cibercrime em um ecossistema estruturado e acessível. Nesse cenário, ferramentas de ataque, credenciais comprometidas, malware e até acesso inicial a redes corporativas são comercializados como produtos digitais, muitas vezes com suporte técnico, atualizações e modelos de assinatura.
Essa dinâmica reduz significativamente a barreira técnica que antes limitava a atuação de agentes maliciosos. Hoje, indivíduos com pouco conhecimento técnico podem executar ataques sofisticados simplesmente adquirindo kits prontos ou contratando serviços especializados dentro desse mercado clandestino.
No Telegram, esse fenômeno se intensificou devido à facilidade de criação de canais e grupos privados, que funcionam como verdadeiros marketplaces do cibercrime. Neles, é comum encontrar:
- venda de logs de infostealers contendo credenciais corporativas;
- serviços de acesso inicial (Initial Access Brokers) a ambientes comprometidos;
- kits de phishing prontos para uso;
- ferramentas de malware, ransomware e spyware;
- bases de dados vazadas e documentos corporativos.
Além disso, o modelo de crime como serviço introduz uma especialização na cadeia de ataque, na qual diferentes atores desempenham funções específicas, como desenvolvimento de malware, coleta de credenciais, venda de acessos e execução final do ataque. Essa divisão de tarefas aumenta a eficiência do ecossistema criminoso e acelera a escala das operações.
Como consequência, a proteção baseada apenas em barreiras técnicas tradicionais, como antivírus ou controles básicos de rede, torna-se insuficiente. As empresas passam a enfrentar um cenário em que identidades, credenciais e acessos corporativos se tornam ativos negociáveis, ampliando significativamente a superfície de risco.
Nesse contexto, estratégias de defesa precisam evoluir para incluir monitoramento contínuo de ameaças, inteligência de fontes abertas e clandestinas, proteção de identidades e detecção de credenciais expostas, permitindo identificar sinais de comprometimento antes que sejam explorados em ataques mais amplos.
Crime como serviço: o que mudou no jogo
O cibercrime evoluiu de um modelo predominantemente artesanal para um ecossistema especializado, em que o mesmo grupo planeja, desenvolve e executa todo o ataque, para se tornar um ecossistema econômico com funções bem definidas. Em vez de fazer tudo sozinho, o atacante pode comprar cada etapa pronta: acesso inicial, ferramentas, infraestrutura e até suporte.
Relatórios sobre Initial Access Brokers (IABs) mostram essa especialização com clareza: há grupos focados apenas em invadir redes, obter credenciais ou explorar vulnerabilidades, para depois revender esse acesso a operadores de ransomware, fraudadores financeiros e grupos de espionagem. Nesse cenário, o ataque se parece cada vez mais com uma cadeia de suprimentos, em que cada elo entrega uma peça pronta para o próximo.
Plataformas de comunicação como o Telegram aceleram esse modelo ao oferecer grande alcance de distribuição e canais públicos, onde conteúdos podem circular rapidamente apesar da existência de mecanismos de moderação da plataforma. Nesses espaços, o que se vê é um mercado paralelo estruturado, com anúncios, “catálogos” de serviços, provas de conceito e até avaliações de reputação de vendedores. A barreira técnica, que antes funcionava como filtro natural, dá lugar a uma barreira puramente econômica: quem tem orçamento e consegue entrar nesses círculos passa a ter poder de ataque.
Telegram como marketplace de spyware e exploits
Um dos casos recentes que ilustram bem essa transformação é o ZeroDayRAT, um spyware móvel que ganhou espaço em canais de cibercrime no Telegram. De acordo com reportagens especializadas, o desenvolvedor mantém canais dedicados para venda, suporte ao cliente e divulgação de atualizações, oferecendo um pacote completo de vigilância móvel acessado por um painel web, com interface amigável e voltado abertamente para “uso comercial”.
Análises técnicas indicam que o ZeroDayRAT é capaz de monitorar SMS, notificações de aplicativos, localização GPS, uso por aplicativo e ainda ativar remotamente câmera, microfone e recursos de keylogging. Em algumas variantes, o foco se expande para o roubo financeiro, com módulos voltados a interceptar carteiras de criptomoedas e redirecionar transferências. Tudo isso sem exigir que o comprador entenda profundamente de desenvolvimento de malware, engenharia reversa ou evasão de antivírus.
O mesmo ambiente abriga a comercialização de exploits e credenciais associadas a vulnerabilidades em softwares corporativos. O caso do SmarterMail é um exemplo: após a divulgação de falhas críticas, rapidamente surgiram canais no Telegram oferecendo provas de conceito, ferramentas de exploração e dumps de credenciais de administradores de servidores comprometidos. O que antes exigia acompanhar listas de e-mail técnicas e compilar PoCs hoje aparece empacotado em “kits” prontos para uso, vendidos para qualquer interessado.
Da vulnerabilidade ao acesso inicial: a cadeia do ataque
Quando vulnerabilidades e ferramentas passam a circular dessa forma, o tempo entre a divulgação de uma falha e sua exploração em massa diminui drasticamente. Se antes muitas empresas contavam com algumas semanas até que um exploit se popularizasse, agora a janela é de dias ou mesmo horas.
Algo semelhante acontece com campanhas que exploram o contexto brasileiro de notas fiscais eletrônicas. Análises recentes mostram operações que usam e-mails de spam em português, com temática de NF-e e cobranças em atraso, para enganar executivos e profissionais administrativos. Em vez de um PDF legítimo, o link ou anexo leva ao download de instaladores de ferramentas de Remote Monitoring and Management (RMM) comerciais, muitas vezes hospedados em serviços aparentemente confiáveis.
Essas ferramentas, usadas de forma legítima por times de TI, são implantadas em modo de teste e, a partir daí, exploradas por corretores de acesso inicial para controlar máquinas corporativas à distância. O acesso conquistado é estabilizado, catalogado e depois leiloado ou vendido diretamente a outros grupos interessados em monetizar aquele ambiente. Em outros termos: o acesso inicial vira mercadoria circulante, que alimenta cadeias de ransomware, fraude financeira ou espionagem corporativa.
A cadeia de valor do crime como serviço
Olhando de cima, o crime como serviço funciona como uma cadeia de valor digital:
| Etapa da cadeia | O que é “vendido” | Impacto para empresas |
| Acesso inicial | Credenciais de VPN, RDP, painéis web, contas de e-mail, sessões SaaS, servidores vulneráveis | Invasores começam já dentro do ambiente, sem esforço de exploração. |
| Ferramentas e payloads | Spyware, RATs, scripts de movimentação lateral, kits de exfiltração | Operadores compram capacidade técnica avançada sob demanda. |
| Infraestrutura | VPS comprometidos, servidores de e-mail, proxies, painéis de comando | Facilita escala de campanhas e evasão de defesas tradicionais. |
| Monetização | Ransomware, fraude financeira, venda de dados, espionagem sob encomenda | Um único acesso inicial pode gerar múltiplos incidentes em cadeia. |
Cada elo se beneficia da especialização: quem é bom em explorar falhas vende vulnerabilidades exploradas; quem domina engenharia social vende campanhas prontas; quem monetiza melhor compra os acessos mais valiosos. Para a empresa alvo, isso significa enfrentar uma economia paralela focada em maximizar o retorno sobre cada credencial, servidor ou sessão comprometida.
Por que a barreira técnica deixou de proteger empresas
Quando acesso inicial, ferramentas e infraestrutura podem ser comprados como serviço, a dificuldade técnica deixa de ser o principal freio ao cibercrime. O operador do ataque passa a se comportar muito mais como um “cliente” que escolhe o que quer atacar, quanto pode pagar e qual nível de sofisticação precisa do que como um especialista em segurança.
Na prática, isso gera quatro efeitos diretos sobre o risco corporativo:
- Mais campanhas ao mesmo tempo: se o gargalo deixa de ser conhecimento técnico e passa a ser apenas orçamento, o volume de campanhas cresce. Setores específicos, como financeiro, saúde ou varejo digital, podem ser atingidos por múltiplos grupos em paralelo.
- Personalização em escala: kits de ataque são reempacotados com diferentes iscas (NF-e, vagas de emprego, mensagens de LinkedIn, comunicações internas) para enganar perfis distintos dentro da mesma organização: executivos, financeiro, RH, TI.
- Replicabilidade de vetores bem-sucedidos: uma combinação de vulnerabilidade explorável e engenharia social eficiente pode ser reproduzida centenas de vezes por operadores diferentes, alavancada por tutoriais, provas de conceito e ferramentas automatizadas.
- Pressão extrema sobre o ciclo de correção: com a janela entre a publicação de uma CVE e a exploração massiva encurtando, equipes de TI e segurança precisam priorizar vulnerabilidades críticas com muito mais rapidez e precisão, sobretudo em ativos expostos à internet.
Não se trata mais de perguntar se a empresa é “interessante” o suficiente para um ataque sofisticado. No contexto de crime como serviço, o que importa é se ela pode ser convertida em receita a partir de um acesso que já está à venda em algum canal clandestino.
Credenciais e identidades: a nova moeda do submundo
Dentro dessa economia, credenciais são uma das moedas mais valiosas. Acessos administrativos a servidores, contas de VPN, caixas de e-mail corporativas e sessões de SaaS são organizados e revendidos em lote, com descrições detalhadas do que cada pacote permite fazer.
Além de contas humanas privilegiadas, identidades técnicas, contas de serviço, secrets em pipelines DevOps, chaves usadas por aplicações, também entram no radar. Elas costumam ficar fora da cobertura de MFA e, muitas vezes, não seguem políticas rígidas de rotação ou monitoramento. A partir dessas credenciais, atacantes conseguem elevar privilégios, movimentar-se lateralmente e manter presença persistente, muitas vezes por meses.
É aqui que a discussão de crime como serviço se conecta diretamente à gestão de identidade e de acesso privilegiado. Quanto mais desorganizado for o ambiente de identidades, maior será o valor de cada acesso vendido no submundo, e maior a facilidade de transformar um incidente isolado em uma violação estrutural.
Grande parte dessas credenciais comercializadas tem origem em infostealers, famílias de malware especializadas em coletar senhas armazenadas em navegadores, cookies de sessão, tokens de autenticação e carteiras de criptomoedas.
Dados coletados por infostealers frequentemente são agregados em chamados “logs”, que incluem credenciais, histórico de navegação, capturas de tela e informações do sistema. Esses pacotes são vendidos em marketplaces clandestinos ou utilizados por corretores de acesso inicial para identificar organizações com maior potencial de monetização.
Como a Asper se posiciona frente ao crime como serviço
A Asper parte de uma premissa realista: empresas não controlam o que acontece nos canais clandestinos, mas podem controlar o quanto estão expostas e o quão rápido conseguem reagir quando viram alvo. Para isso, três pilares se destacam frente à industrialização do ataque: detecção e resposta contínuas, proteção de credenciais privilegiadas e governança de identidades.
Cyber Fusion Center: detecção e resposta contínuas
O Cyber Fusion Center (CFC) da Asper atua como um SOC de nova geração, com monitoramento 24×7 e foco em comportamento, e não apenas em indicadores estáticos. Em um cenário de crime como serviço, isso é crítico: campanhas baseadas em spyware móvel, abuso de RMM legítimo ou exploits recém-divulgados tendem a escapar de controles puramente baseados em assinatura.
Ao integrar telemetria de endpoints, rede, identidade e nuvem, o CFC consegue identificar sinais que, isoladamente, passariam despercebidos: softwares de acesso remoto instalados fora de padrão, processos de sistema estabelecendo conexões incomuns, tentativas de autenticação irregulares e exfiltração mascarada como tráfego legítimo. Com playbooks de resposta orquestrada, é possível isolar máquinas, revogar sessões e bloquear credenciais em minutos, antes que o acesso inicial comprado ou vendido seja plenamente monetizado.
CyberArk: blindando credenciais que viram mercadoria
Na prática de crime como serviço, credenciais privilegiadas são vendidas como “chaves mestras” para ambientes corporativos. Ao apoiar a implementação de CyberArk, a Asper ajuda empresas a tratar essas credenciais como ativos críticos, colocando-as em cofres seguros, automatizando rotação de senhas, controlando sessões privilegiadas e monitorando uso anômalo.
Esse tipo de controle reduz o tempo em que uma credencial roubada permanece útil. Mesmo que uma senha seja exfiltrada e colocada à venda, políticas de rotação frequente e monitoramento de sessão limitam a janela de exploração e aumentam a chance de detecção. Na lógica econômica do crime como serviço, quanto menor a vida útil desses acessos, menor o incentivo para que sejam comercializados.
SailPoint: reduzindo a superfície de identidade explorável
Se um atacante compra um acesso inicial e encontra um ambiente com contas órfãs, privilégios excessivos e ausência de revisão de acessos, o caminho até um incidente maior é curto. Ao integrar soluções como SailPoint, a Asper ajuda a mapear, governar e revisar continuamente quem tem acesso a quê, em toda a organização.
Automatizar processos de joiner–mover–leaver, aplicar princípios de menor privilégio e revisar periodicamente acessos sensíveis reduz a superfície de identidade que pode ser explorada em campanhas massificadas. Em um contexto de crime como serviço, cada camada adicional de governança aumenta o esforço e o risco para o operador que comprou aquele acesso inicial.
Cyber Threat Intelligence (CTI): antecipando movimentos do ecossistema criminoso
Em um cenário dominado por crime como serviço, acompanhar apenas eventos internos já não é suficiente. É fundamental compreender o que está acontecendo no ecossistema de ameaças fora da organização.
O Cyber Threat Intelligence (CTI) da Asper permite monitorar fóruns clandestinos, marketplaces de acesso inicial, canais de Telegram associados a atividades maliciosas e outras fontes de inteligência utilizadas por operadores de ataques.
Esse monitoramento ajuda a identificar antecipadamente sinais de risco, como credenciais corporativas expostas, menções à organização em ambientes clandestinos, exploração ativa de vulnerabilidades específicas ou venda de acessos associados a determinados setores da economia.
Ao integrar inteligência de ameaças ao SOC e às ferramentas de segurança, organizações conseguem priorizar vulnerabilidades críticas, reforçar controles antes da exploração em massa e reduzir o tempo entre detecção e resposta.
Seu ambiente está pronto para esse cenário?
A industrialização do cibercrime via Telegram e outros canais clandestinos não é mais hipótese futura, é o pano de fundo dos incidentes que chegam hoje às equipes de TI e segurança. A barreira técnica, sozinha, não protege mais: o que faz diferença é a capacidade de detectar rapidamente comportamentos anômalos, proteger credenciais que viraram moeda de troca e reduzir a superfície de identidade explorável.
Se você quer entender, com dados do seu próprio ambiente, o quanto a sua empresa está exposta a esse modelo de crime como serviço, o time técnico da Asper pode ajudar. Em uma conversa rápida, é possível avaliar o estado atual de monitoramento, gestão de credenciais privilegiadas e governança de identidades, e desenhar um plano prático para elevar sua maturidade, antes que o seu acesso apareça como “produto” no próximo canal clandestino.
