什么是勒索软件即服务(RaaS)?
勒索软件即服务(RaaS)是一种基于订阅的业务模式,使威胁参与者(也称为附属机构)能够通过访问和使用预先开发的勒索工具来发起勒索软件攻击。
勒索软件是一种恶意软件,可锁定并加密受害者的数据、文件、设备或系统,使其在攻击者收到赎金之前无法访问和使用。在RaaS模式中,勒索软件作者将其软件或按使用付费的恶意软件提供给附属机构使用,由附属机构挟持组织的数据。通过使用RaaS,附属机构可以从每次成功的赎金支付中获得分成。
RaaS如何运作?
RaaS以软件即服务(SaaS)模式提供勒索软件。在组织层级顶端是RaaS运营商,他们开发用于加密用户数据的勒索软件有效载荷。
勒索软件运营商还管理所有后端基础设施以运行勒索软件活动,这包括勒索软件代码、使潜在客户能够注册和使用服务的门户网站,以及支持活动的客户服务。全服务RaaS运营商还处理勒索软件付款(通常使用比特币等加密货币),并向支付赎金的受害者提供解密密钥。
附属机构是同意基于每次收取赎金的服务费后使用勒索软件的一方。
RaaS商业模式类型
- 月度订阅:用户支付月费,从每次成功赎金中获得小比例分成
- 一次性许可费:用户支付一次性费用即可无限期访问服务,无需与运营商分享利润
- 附属计划:RaaS运营商从受害者支付的每笔赎金中获取预定百分比
- 纯利润分享:附属购买许可后,利润按预定比例在用户和运营商之间分配
勒索软件与RaaS的区别
勒索软件本身是用于加密受害者系统数据的恶意软件有效载荷。而RaaS将勒索软件转变为其他潜在恶意行为者的产品,扩大了勒索软件的可访问性和潜在覆盖范围。
RaaS攻击示例
- RansomHub:2024年2月推出,已对水和废水设施发起210多次攻击
- REvil:最活跃的RaaS运营商之一,涉及2021年7月影响至少1500个组织的Kaseya攻击
- DarkSide:据报应对2021年5月殖民管道攻击负责
- LockBit:2019年9月首次出现,能够自动在目标网络中自我传播
如何预防RaaS攻击
- 确保数据备份和恢复:拥有最新的备份可在恢复操作中减少攻击影响
- 更新软件:勒索软件常利用应用程序和操作系统中的已知漏洞
- 使用多因素认证:减少单个重复使用密码的影响
- 实施网络钓鱼防护:勒索软件的常见攻击向量是电子邮件网络钓鱼
- 使用DNS过滤:可识别并阻止勒索软件与C&C服务器的通信
- 实施XDR端点安全:端点保护和威胁狩猎技术可限制勒索软件风险
- 管理第三方安全:监控所有供应商的安全实践
- 限制访问:限制管理和系统访问权限
- 教育员工:定期培训员工网络安全最佳实践
RaaS的未来
2024年,勒索软件占网络安全漏洞的44%。当前RaaS趋势可能持续,加密算法和规避技术可能会改进,而运营商设计勒索软件用于更有针对性的攻击。多层勒索软件(如双重和三重勒索攻击)也变得越来越普遍。
生成式AI有可能开发新的自定义勒索软件变体并利用漏洞。虽然难以确定RaaS攻击的未来轨迹,但公司应主动采取措施减轻潜在攻击。