勒索软件即服务(RaaS):网络犯罪的黑产模式解析

勒索软件即服务(RaaS)是一种订阅式商业模式,让威胁攻击者能够使用预先开发的勒索工具发起攻击。本文详细解析RaaS运作模式、业务类型、典型案例及防护措施。

什么是勒索软件即服务(RaaS)?

勒索软件即服务(RaaS)是一种基于订阅的商业模式,使威胁行为者(也称为附属机构)能够通过访问和使用预先开发的勒索软件工具来发起勒索软件攻击。

勒索软件是一种恶意软件,可锁定并加密受害者的数据、文件、设备或系统,使其在攻击者收到赎金之前无法访问和使用。在RaaS模式中,勒索软件作者将其软件或付费使用的恶意软件提供给附属机构使用,由附属机构挟持组织的数据。使用RaaS让附属机构能从每次成功的赎金支付中获得分成,进入了以往仅限勒索软件作者或经验丰富黑客参与的勒索领域。

这种商业模式使恶意软件作者能够从其软件中扩大收益,同时比亲自使用承担更少的个人风险。通过让他人执行实际的勒索行为,恶意软件作者可以免受最终犯罪的后果。RaaS对于没有技术能力自行创建恶意软件的威胁行为者也很有用。

尽管勒索软件和RaaS在世界各地几乎总是被视为非法犯罪行为,但这类网络安全漏洞已变得越来越普遍。

勒索软件即服务如何运作?

RaaS的核心是以软件即服务(SaaS)模式提供勒索软件。在组织层级顶部是RaaS运营商,他们开发用于加密用户数据的勒索软件有效载荷。

勒索软件运营商还管理所有后端基础设施以运行勒索软件活动。这包括勒索软件代码、让潜在客户注册和使用服务的门户网站,以及支持活动的客户服务。全服务RaaS运营商还处理勒索软件付款(通常使用加密货币,如比特币),并向支付赎金的受害者提供解密密钥。此外,RaaS运营商在暗网的各种地下论坛上积极宣传其服务以招募附属机构。

附属机构是在同意基于每次收取赎金的服务费后使用勒索软件的一方。

RaaS模型类型

RaaS有几种不同的业务和收入模型,包括:

  • 月度订阅:作为SaaS模型,RaaS以订阅方式提供给潜在用户。用户支付月费,并从每次成功勒索中获得小比例分成
  • 一次性许可费:RaaS模型以一次性费用提供给用户。一次性付款后,用户获得无限期服务访问权,无需与RaaS运营商分享利润
  • 联盟计划:联盟模型的基本目标是增加利润。RaaS运营商从受害者支付的每笔赎金中提取预定百分比
  • 纯利润分享:在这种商业模式中,一旦附属机构购买许可,利润根据预定百分比在用户和运营商之间分配

勒索软件与勒索软件即服务的区别

勒索软件即服务将勒索软件转变为其他潜在恶意行为者的产品。

勒索软件本身是用于加密受害者系统数据的实际恶意软件有效载荷。一旦系统感染勒索软件,就会向受害者提出赎金要求。当受害者支付赎金时,攻击者提供解密密钥以恢复加密数据——尽管攻击者可能仍决定保持数据锁定。某些勒索软件可能被设计为双重或三重勒索攻击,为攻击者提供更多从受害者那里勒索赎金的机会。

勒索软件开发者向付费成为程序附属机构的订阅者提供RaaS。RaaS扩展了勒索软件的可访问性和潜在覆盖范围。与单个组织使用勒索软件代码攻击受害者不同,多个攻击者组织可以使用RaaS利用勒索软件攻击受害者。

RaaS也可能比由单个威胁行为者开发和部署的典型勒索软件更具弹性。例如,RaaS运营商可能拥有专业基础设施和技术专长来创建新的恶意软件有效载荷,同时避免检测。同样,关闭特定的RaaS操作可能更加困难,因为捕获附属机构不一定会关闭运营商,而捕获运营商也不一定会关闭其附属机构。如果运营商被捕获,其各自的附属机构可以切换到另一个勒索软件工具包。

勒索软件即服务示例

近年来,勒索软件作者发现了运行RaaS操作的盈利性质。威胁行为者群体建立RaaS操作以在几乎每个行业传播勒索软件的情况并不少见。

以下是一些RaaS提供商:

  • RansomHub:于2024年2月推出,RansomHub RaaS对水和废水设施发动了210多次攻击。据信它是Alphv的继任者,后者与俄罗斯附属国家有联系
  • RTM Locker:Read the Manual (RTM) Locker于2023年初出现。它演变为RaaS提供商,以提供基于附属机构的标准商业模式而闻名。RTM附属机构获得一个网络界面来控制其网络犯罪操作,以及对该团体指南、目标和建议攻击策略的全面解释
  • REvil:虽然有多个RaaS运营商,但REvil是最活跃的之一。它涉及Kaseya攻击,该攻击在2021年7月影响了至少1,500个组织。该团体还被指控对肉类生产商JBS USA在2021年6月发动的攻击负责,受害者支付了1,100万美元赎金。2021年3月,REvil还被确认为对网络保险承运商CNA Financial的勒索软件攻击的幕后黑手
  • DarkSide:在最臭名昭著的RaaS运营商中,据报道该团体对2021年5月的Colonial Pipeline攻击负责。DarkSide被认为于2020年8月开始,在2021年头几个月特别活跃
  • DoppelPaymer:DoppelPaymer与多起事件有关,包括2020年针对德国一家医院的事件,导致一名患者死亡
  • LockBit:LockBit于2019年9月首次出现,名为ABCD病毒,以该团体用于加密受害者文件的文件扩展名命名。其属性之一是在目标网络中自动自我传播的能力,使其成为潜在攻击者有吸引力的RaaS
  • Maze:Maze于2019年出现。除了加密用户数据外,它还试图通过威胁公开共享数据来羞辱受害者。Maze RaaS于2020年11月正式关闭。然而,在他们解散后,网络犯罪分子继续使用Egregor名称进行Maze的攻击活动
  • Dharma:Dharma勒索软件首次出现于2016年,最初被称为CrySis。多年来有许多Dharma勒索软件变种,但在2020年,Dharma以RaaS模型出现

通过RaaS发生了许多不同的勒索软件攻击实例。组织应保持警惕并主动预防这些攻击。

如何预防RaaS攻击

以下是一些有助于降低勒索软件风险的最佳实践:

  • 确保数据备份和恢复:第一个也是最关键的步骤是制定数据备份和恢复计划。勒索软件加密数据,使用户无法访问。如果组织拥有可在恢复操作中使用的最新备份,这可以减少攻击者加密数据的影响
  • 更新软件:勒索软件经常利用应用程序和操作系统中的已知漏洞。随着补丁和更新的发布更新软件对于帮助预防勒索软件和其他网络攻击是必要的
  • 使用多因素认证:一些勒索软件攻击者使用凭据填充,即从一个站点窃取的密码在另一个站点重复使用以访问用户账户。多因素认证减少了单个重复使用密码的影响,因为仍需要第二个因素才能获得访问权限
  • 实施钓鱼防护:勒索软件的常见攻击向量是电子邮件钓鱼。拥有某种形式的反钓鱼电子邮件安全可以潜在地预防RaaS攻击
  • 使用DNS过滤:勒索软件经常使用某种形式的命令与控制(C&C)服务器与RaaS运营商的平台通信。从受感染系统到C&C服务器的通信几乎总是涉及域名系统(DNS)查询。通过DNS过滤安全服务,组织可以识别勒索软件何时尝试与RaaS C&C通信并阻止通信。这有助于防止感染
  • 实施XDR端点安全:勒索软件保护的另一个关键层是端点保护和威胁狩猎技术,如扩展检测和响应(XDR)和防病毒软件。这些技术提供可限制勒索软件风险的能力
  • 管理第三方安全:为避免第三方漏洞,企业必须监控所有供应商的安全实践
  • 限制访问:为避免安全问题,公司应限制对真正需要的人员的管理和系统访问
  • 教育员工:定期培训员工关于网络安全最佳实践和社会工程策略可以是公司预防RaaS攻击和一般网络威胁的有效方式

RaaS的未来

随着RaaS服务采用的增长,针对性勒索软件攻击的频率正在增加。例如,勒索软件占2024年网络安全漏洞的44%。

一些当前的RaaS趋势可能会继续。加密算法和规避技术可能会改进,而运营商设计勒索软件用于更具针对性和特定性的攻击。多层勒索软件,如双重和三重勒索攻击,也变得越来越普遍。

网络安全威胁格局不断见证新勒索软件变种的出现,给安全团队带来压力,要求他们通过执行补丁程序和快速解决已知漏洞来应对。一个关键领域是生成式AI,它有潜力开发新的自定义勒索软件变种并利用漏洞。

虽然很难确定RaaS攻击的未来轨迹,但公司应主动采取措施以减轻潜在攻击。

各行各业的组织都面临成为 financially motivated 网络犯罪目标的风险。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次