揭秘勒索软件即服务:运作模式、实例与防御策略

本文深入探讨了勒索软件即服务的成熟犯罪商业模式,详细解析了其订阅、分成、一次性许可和混合等多种盈利模式,列举了LockBit、BlackCat等典型RaaS实例,并为企业提供了包括基础备份、云安全、访问控制在内的多维度防御策略。

什么是勒索软件即服务?

勒索软件攻击已从偶发的、机会主义的黑客行为发展成为一个成熟的犯罪产业,而这一转变的核心便是勒索软件即服务。这种地下商业模式降低了网络犯罪的准入门槛,即使是非技术背景的犯罪分子也能发起复杂的勒索软件活动。

RaaS工具包使得缺乏技能或时间来自行开发勒索软件变种的“附属分子”能够快速且低成本地启动和运行。这些工具包在暗网上很容易找到,其广告方式与合法网站上的商品广告如出一辙。

一个RaaS工具包可能包含7x24小时支持、捆绑优惠、用户评论、论坛等与合法SaaS提供商完全相同的功能。根据Sophos的数据,RaaS工具包的价格从每月40美元到数千美元不等——考虑到2024年的平均赎金要求为273万美元,这笔费用微不足道。威胁行为者并不需要每次攻击都成功才能变得富有。

订阅模式

附属分子按月或按年支付费用,以获取勒索软件工具包、基础设施和更新。价格范围从每月几百到几千美元不等,具体取决于隐身性、速度和加密强度等功能。

  • 示例:每月支付500美元,即可获得最新勒索软件构建版本及7x24小时“支持”。
  • 对犯罪分子的优势:为RaaS开发者提供了可预测的、持续性的收入流。

附属/利润分成模式

这是最常见的RaaS结构。附属分子可以免费或支付少量设置费使用勒索软件,然后将每次赎金的一定比例分给开发者。

  • 典型分成比例:70/30 或 80/20(附属分子占大头)。
  • 示例:100万美元的赎金支付,可能使附属分子获得80万美元,开发者获得20万美元。
  • 优势:附属分子进入门槛低,开发者则在附属分子成功时获得高额收益潜力。

一次性许可费模式

附属分子一次性付款买断勒索软件工具包。之后,他们拥有并独立操作该软件,无需再进行收入分成。

  • 示例:一次性支付5000美元购买功能完整的勒索软件包。
  • 优势:为开发者带来即时的一次性大额收入——但除非他们后续销售新版本,否则没有持续收入。

混合模式

结合了上述模型的各个方面。附属分子可能支付较低的月订阅费加上降低的分成比例,或支付部分预许可费加上持续的特许权使用费。

  • 示例:每月200美元的订阅费,加上所收取每笔赎金的20%。
  • 优势:开发者既能获得稳定收入,又能从大额赎金中分得一杯羹。

一些RaaS平台还为附属分子提供“漏洞赏金”式的激励,奖励他们找到更好的感染途径或绕过新的安全措施——这从另一个方面表明了这个犯罪市场已经变得多么专业化。

勒索软件即服务实例

目前有大量的勒索软件即服务在流传,虽然网络安全专家了解并追踪着许多不同的组织,但保持警惕并为任何情况做好准备至关重要。

  • LockBit:该勒索软件于2021年6月出现,利用SMB和PowerShell在被攻陷的网络中传播恶意软件。它声称拥有最快的市场加密速度,并已入侵了超过50个不同行业的组织。
  • BlackCat:也称为ALPHV,使用Rust编程语言编写,易于针对不同的操作系统架构进行编译。这种勒索软件非常危险,因为它高度可定制且易于个性化。
  • Hive:于2021年6月首次被观察到,Hive RaaS组织通过在不同的泄露网站甚至社交媒体上发布攻击细节(包括攻击日期、时间以及信息泄露倒计时)来胁迫受害者支付赎金。
  • Dharma:于2016年首次被识别,通过钓鱼邮件中的恶意软件附件攻击受害者。其他几个勒索软件组织曾将Dharma用作源代码。

防御勒索软件即服务

勒索软件尤其阴险,因为它没有单一的根源性攻击原因。勒索软件本身指的是被注入以加密并可能窃取数据的恶意软件,而非实现该目的的方法。尽管存在常见的勒索软件TTPs,每个组织都应了解并监控,但预防勒索软件攻击的一个主要方法是监控其前兆。

  1. 进行基础文件备份。这一简单的举措在发生勒索软件攻击时能产生重大影响,因为它可以抵御双重勒索。根据Arctic Wolf的数据,在68%的勒索软件事件中,可靠的备份有助于恢复过程——在许多情况下,通过提供通往充分恢复的替代路径,消除了支付赎金的必要。
  2. 保护云端安全。云端不仅能为威胁行为者提供初始访问途径,而且随着数据存储和运营应用程序扩展到云端,威胁行为者很可能会找到进入的路径。了解您在云安全中的责任,并及时处理错误配置,可以大大加强这一攻击面的防护。
  3. 强化身份和访问控制。身份验证是一个新兴的战场,凭证不仅是日益增长的初始访问根源,而且远程桌面协议和受损的VPN凭证是导致勒索软件和入侵的主要原因。
  4. 实施基于风险漏洞管理。通常是已知的、未修补的漏洞允许威胁行为者访问网络或系统,随着关键漏洞数量逐年持续增加,持续漏洞管理对组织来说不再是可选项。
  5. 投资7x24小时监控。预防和阻止勒索软件攻击有两个关键组成部分——对环境的可见性以及快速检测异常的能力。
  6. 提高用户意识和培训。MDR服务通常包括培训员工了解勒索软件风险以及避免成为钓鱼攻击和其他勒索软件活动中常用的社会工程学技术受害者的最佳实践。钓鱼模拟培训是MDR提供商可以提供的一个例子,用以加强您在RaaS攻击中最薄弱的环节:您的终端用户。

监控远程会话

安全监控对于预防勒索软件攻击至关重要,因为它能实现早期检测、识别漏洞、监控异常、保护数据以及满足合规性要求。

RecordTS能为RDS、Citrix和VMware系统可靠、安全地记录Windows远程会话。从只有一个服务器的小型办公室到拥有数万台桌面和服务器的大型企业网络,RecordTS都能与原生环境无缝集成。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次