什么是勒索软件即服务?
勒索软件即服务(RaaS)是一种犯罪团伙形式,在这种形式中,顶级掠夺者勒索软件团伙(又称勒索软件运营商)将其服务外包,即针对目标部署勒索软件,然后向附属机构勒索付款。大多数 RaaS 业务采用收入共享模式,即勒索软件运营商向关联公司收取一定比例的赎金,以换取对目标网络的初始访问权。这种模式将勒索软件攻击序列分为两个不同的阶段:获得初始访问权和第二阶段攻击,第二阶段攻击的目的是破坏有价值的数据。通过细分网络攻击的各个阶段,勒索软件操作员和联盟都能利用对方的专业技能,从而提高整体的成功几率。第二种 RaaS 模式是关联公司支付订购费或固定费用从勒索软件运营商处购买勒索软件有效载荷。
两种最常见的 RaaS 业务模式:
1.利润分享模式
勒索软件操作员收取赎金,并与联属会员分享一定比例。这是联属会员提供初始访问权限的最常见模式。
2.订阅或统一收费模式
联盟成员定期(按月)付费或一次性付费购买勒索软件有效载荷的 DIY 副本,即勒索软件包。购买者配置勒索软件包并将其部署到选定的目标上。
RaaS 是勒索软件迅猛发展背后的最大驱动力之一,因为它允许缺乏高级黑客能力的潜在威胁行为者与技术高超的高级持续威胁行为者 (APT) 和疑似民族国家运营商合作。这种团队合作方式让所有参与方只需专注于开发过程的一小部分,从而提高了攻击的威力。
2021 年,勒索软件团伙总共从受害者那里勒索了 6 亿多美元;考虑到每起勒索软件事件的平均赔付额超过 80 万美元,很明显,即使佣金率很低,RaaS 也是联属会员的摇钱树。
勒索软件与勒索软件即服务
勒索软件即服务如何运作
在 RaaS 模式中,被称为运营商的主要勒索软件威胁行为者与关联公司合作,针对目标发送勒索软件。附属机构要么向运营商支付固定费用,以针对指定目标发起进攻性网络攻击活动,要么提供对已被入侵网络的初始访问权限,以换取一定比例的勒索资金。这样,RaaS 的运作方式就类似于合法的 B2B 专业网络。
附属机构通常会开发复杂的社交工程攻击,使用网络钓鱼或鱼叉式网络钓鱼技术来获取初始访问权限。他们还可能通过未修补的漏洞、配置错误、使用从以前的网络攻击中窃取的凭证或公开的数据破坏现有的用户账户来测试重复使用的密码,甚至对目标场所进行物理访问,从而获得初始访问权限。
交流和交易发生在由勒索软件运营商托管的暗网论坛上。目前已知至少有 25 个此类门户网站明确提供 RaaS。
