什么是勒索软件即服务(RaaS)？

勒索软件攻击已从零散的机会主义黑客行为发展成熟的犯罪产业，而这一转变的核心就是勒索软件即服务(RaaS)。这种地下商业模式降低了网络犯罪的门槛，即使是非技术型犯罪分子也能发起复杂的勒索软件活动。

RaaS商业模式

订阅模式

附属犯罪分子支付月费或年费以获得勒索软件工具包、基础设施和更新权限。价格从每月几百到几千美元不等，具体取决于隐身性、速度和加密强度等功能。

示例：每月500美元的订阅费，可获取最新勒索软件构建版本和24/7"支持"。 犯罪优势：为RaaS开发者提供可预测的经常性收入流。

附属/利润分成模式

最常见的RaaS结构。附属犯罪分子免费或支付少量设置费使用勒索软件，然后将每笔赎金按比例与开发者分成。

典型分成比例：70/30或80/20（附属方获得较大份额） 示例：100万美元的赎金支付可能让附属方获得80万美元，开发者获得20万美元。 优势：附属方进入门槛低，开发者在其成功时获得高收益潜力。

一次性授权费

附属方一次性购买勒索软件工具包，之后完全拥有并运营，无需进一步收入分成。

示例：一次性支付5000美元获得功能完整的勒索软件包。 优势：开发者获得即时一次性收入，但除非后续销售新版本，否则无持续收入。

混合模式

结合上述模式的特点。附属方可能支付较低的月费加上减少的利润分成比例，或支付部分预授权费加上持续版税。

示例：每月200美元订阅费加上每笔赎金的20%。 优势：开发者既能获得稳定收入，又能从大额支付中分得一杯羹。

一些RaaS平台还为附属方提供"漏洞赏金"式激励，奖励他们寻找更好的感染途径或绕过新的安全措施，这进一步证明了这个犯罪市场的专业化程度。

勒索软件即服务示例

LockBit

该勒索软件于2021年6月出现，利用SMB和PowerShell在受感染网络中传播恶意软件。它声称拥有最快的市场加密速度，已入侵超过50个不同行业的组织。

BlackCat

也称为ALPHV，BlackCat使用Rust编程语言编写，易于针对不同操作系统架构进行编译。这种勒索软件高度可定制且易于个性化，因此非常危险。

Hive

Hive RaaS组织首次于2021年6月被观察到，通过在不同泄漏网站甚至社交媒体上发布攻击细节（包括攻击日期时间和信息泄漏倒计时）向受害者施压支付赎金。

Dharma

首次于2016年被识别，Dharma通过网络钓鱼邮件中的恶意软件附件瞄准受害者。其他几个勒索软件组织已使用Dharma作为源代码。

防御勒索软件即服务

勒索软件特别阴险，因为攻击没有单一的根源。虽然组织应了解并监控勒索软件的常见TTP，但预防勒索软件攻击的主要方法是监控前兆。

进行基本文件备份

这一简单行为可在勒索软件攻击发生时产生重大影响，因为它能防御双重勒索。根据Arctic Wolf的数据，在68%的勒索软件事件中，可靠备份有助于恢复过程，在许多情况下通过提供足够的替代恢复路径消除了支付赎金的必要。

保护云安全

云不仅可能为威胁行为者提供初始访问权限，而且随着数据存储和操作应用程序扩展到云端，威胁行为者很可能会找到进入的途径。了解您在云安全中的责任，并密切关注错误配置，可以大大加强攻击面的这一部分。

实施身份和访问控制

身份是一个新兴战场，不仅凭证日益成为初始访问的根本原因，而且远程桌面协议(RDP)和受损的VPN凭证是勒索软件和入侵的主要根本原因。

执行基于风险的漏洞管理

通常是已知的未修补漏洞允许威胁行为者访问网络或系统，随着关键漏洞数量逐年持续增加，持续漏洞管理对组织来说不再是可选的。

投资24×7监控

预防和阻止勒索软件攻击有两个关键组成部分：对环境的可见性和快速检测异常的能力。

用户意识和培训

MDR服务通常包括培训员工了解勒索软件风险和最佳实践，以避免成为勒索软件活动中常用的网络钓鱼和其他社会工程技术的受害者。网络钓鱼模拟培训是MDR提供商可以提供的服务之一，以加强您在RaaS攻击中最薄弱的环节：最终用户。

监控远程会话

安全监控对于预防勒索软件攻击至关重要，因为它能够实现早期检测、漏洞识别、异常监控、数据保护和合规性要求。RecordTS可可靠安全地记录Windows远程会话，适用于RDS、Citrix和VMware系统。从单台服务器的小型办公室到数万台桌面和服务器的大型企业网络，RecordTS都能与本地环境无缝集成。