Ransomware as a service (RaaS) è l'offerta di malware a pagamento creato per estorsione su dati rubati o crittografati, noto come ransomware.
L'autore del ransomware rende il software disponibile ai clienti chiamati affiliati che possono utilizzare il software per tenere in ostaggio i dati delle persone con relativamente poche competenze tecniche. L'utilizzo di RaaS consente agli affiliati di entrare in un'area di pratiche estorsive che in precedenza era esclusiva degli autori stessi.
Per l'autore del malware, il modello di business consente loro di scalare i propri guadagni dal proprio software con un rischio personale inferiore a quello sostenuto se lo utilizzano da soli. Offrire il loro software ad altri li rimuove dal crimine finale facendo eseguire a un altro l'atto di riscatto.
Un aumento del numero di infezioni da ransomware è stato attribuito da molti esperti di sicurezza all'avvento di RaaS. I ricercatori di McAfee sulla sicurezza affermano che il modello RaaS ha la capacità di creare vaste reti di affiliazione, consentendo a ransomware come CTB-Locker di aumentare il loro impatto.
Mentre gli affiliati potrebbero correre il rischio di pagare per RaaS tramite carta di credito, la criptovaluta viene spesso utilizzata come pagamento.