勒索软件即服务(RaaS):网络犯罪的新商业模式

本文深入解析勒索软件即服务(RaaS)的运作模式,包括订阅制、联盟分成、一次性许可和混合模式等商业模式,介绍LockBit、BlackCat等知名RaaS组织,并提供云安全、访问控制等有效防御策略。

什么是勒索软件即服务(RaaS)?

勒索软件攻击已从一次性的机会主义黑客行为发展成为一个成熟的犯罪产业,而这一转变的核心就是勒索软件即服务(RaaS)。这种地下商业模式降低了网络犯罪的门槛,即使是非技术犯罪分子也能发起复杂的勒索软件活动。

RaaS工具包让缺乏技能或时间开发自己勒索软件变体的附属机构能够快速且负担得起地启动和运行。这些工具包在暗网上很容易找到,其广告方式与合法网络上的商品广告相同。

RaaS工具包可能包括24/7支持、捆绑优惠、用户评论、论坛和其他与合法SaaS提供商相同的功能。根据Sophos的数据,RaaS工具包的价格从每月40美元到数千美元不等——考虑到2024年的平均赎金要求为273万美元,这些金额微不足道。威胁行为者不需要每次攻击都成功就能变得富有。

订阅模式

附属机构支付月费或年费以访问勒索软件工具包、基础设施和更新。根据隐身性、速度和加密强度等功能,价格从每月几百到几千美元不等。

示例:每月500美元的订阅费,可访问最新的勒索软件构建加上24/7"支持"。

对犯罪分子的优势:为RaaS开发者提供可预测的经常性收入流。

联盟/利润分成模式

最常见的RaaS结构。附属机构免费或以少量设置费使用勒索软件,然后将每笔赎金的一定百分比分给开发者。

典型分成:70/30或80/20(附属机构获得较大份额)。

示例:100万美元的赎金支付可能产生80万美元给附属机构,20万美元给开发者。

优势:附属机构进入门槛低,如果附属机构成功,开发者有高收入潜力。

一次性许可费

附属机构一次性购买勒索软件工具包。之后,他们拥有并操作它,无需进一步收入分成。

示例:一次性支付5000美元购买功能完整的勒索软件包。

优势:为开发者提供即时的一次性收入——但除非他们以后销售新版本,否则没有持续收入。

混合模式

结合了上述模式的特点。附属机构可能支付较小的月订阅费加上降低的利润分成百分比,或者部分预付款许可费加上持续版税。

示例:每月200美元订阅费加上每笔收取赎金的20%。

优势:开发者既获得稳定收入,又能从大额支付中分一杯羹。

一些RaaS平台还为附属机构运行"漏洞赏金"式激励,奖励他们找到更好的感染载体或绕过新的安全措施——这是这个犯罪市场变得多么专业化的另一个迹象。

勒索软件即服务(RaaS)示例

流通中有大量的勒索软件即服务,虽然网络专业人员意识到并跟踪许多不同的组织,但保持警惕并为任何事情做好准备很重要。

LockBit 这种勒索软件于2021年6月出现,利用SMB和PowerShell通过受感染网络传播恶意软件。它声称拥有最快的市场加密,并已危害了跨不同行业的50多个组织。

BlackCat 也称为ALPHV,BlackCat用Rust编程语言编码,易于针对不同的操作系统架构进行编译。这种勒索软件很危险,因为它是高度可定制且易于个性化的。

Hive 首次观察到是在2021年6月,Hive RaaS组织通过在不同泄漏站点甚至社交媒体上发布攻击细节向受害者施压支付,包括攻击的日期和时间以及信息泄漏的倒计时。

Dharma 首次识别于2016年,Dharma通过网络钓鱼电子邮件中的恶意软件附件瞄准受害者。其他几个勒索软件组织已使用Dharma作为源代码。

防御勒索软件即服务

勒索软件特别阴险,因为攻击没有单一的根源原因。勒索软件本身指的是被注入以加密并可能外泄数据的恶意软件,而不是用于这样做的方法。虽然每个组织都应该意识到并监控勒索软件中的常见TTP,但防止勒索软件攻击的一个主要方法是监控前兆。

进行基本文件备份

如果发生勒索软件攻击,这个小动作可以产生重大影响,因为它防御了双重勒索。根据Arctic Wolf的数据,在68%的勒索软件事件中,可靠备份帮助了恢复过程——在许多情况下,通过提供足够恢复的替代路径消除了支付的需要。

保护云安全

云不仅可以为威胁行为者提供初始访问权限,而且随着数据存储和操作应用程序扩展到云,威胁行为者很可能会找到进入那里的方法。了解你在云安全中的责任,以及掌握配置错误,可以在强化攻击面的这一部分方面大有帮助。

执行身份和访问控制

身份是一个新兴的战场,不仅凭证是初始访问的日益增长的根源原因,而且远程桌面协议(RDP)和受损的VPN凭证是勒索软件和入侵的主要根源原因。

进行基于风险的漏洞管理

通常是已知的未修补漏洞允许威胁行为者获得对网络或系统的访问权限,并且随着关键漏洞数量逐年持续增加,持续漏洞管理对组织来说不再是可选的。

投资24×7监控

防止和停止勒索软件攻击有两个关键组成部分——对环境的可见性和快速检测异常的能力。

用户意识和培训

MDR服务通常包括培训员工关于勒索软件风险和最佳实践,以避免成为勒索软件活动中常用的网络钓鱼和其他社会工程技术的受害者。网络钓鱼模拟培训是MDR提供商可以提供的加强你在RaaS攻击中最薄弱环节的一个例子:你的最终用户。

监控远程会话

安全监控对于防止勒索软件攻击至关重要,因为它能够实现早期检测、识别漏洞、监控异常、数据保护和符合监管要求。

RecordTS将为RDS、Citrix和VMware系统可靠安全地记录Windows远程会话。RecordTS可从小型办公室的一台服务器扩展到具有数万台桌面和服务器的大型企业网络,与本地环境无缝集成。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次