Ransomware as a Service是一个英语术语,指的是一种商业模型,其中勒索软件开发者向感兴趣的恶意行为者提供工具,以便他们可以发起勒索软件攻击。使用者通过签约创建恶意软件即服务或加入联盟计划,并分发一系列勒索软件以换取一定比例的利润。 这种围绕勒索软件的商业模式并不是新的,也不是这种类型的网络威胁独有的,还有恶意软件即服务。但在过去两年中,RaaS已经发展壮大,目前有许多勒索软件组织在这种条件下运行。
究竟什么是勒索软件即服务或RaaS?
该服务由开发此类恶意代码的网络犯罪集团提供的,并在他们寻求招募附属机构的秘密论坛中提供,这些附属机构是签约该服务的人。
这是两个部分:勒索软件的创建者和负责分发威胁的附属机构或服务承包商。
附属机构可以访问强大且开发良好的基础设施,其中包含旨在绕过防御的恶意代码,不需要编程或构建自己的东西。同样,获得该服务的人可以访问控制面板,设置将向每个受害者索取赎金的金额。
一些勒索软件组织,如REvil,在2021年的一次采访中透露,他们有60个附属成员分发这种勒索软件,这解释了REvil在2020年至2021年期间的受欢迎程度,它是全球最活跃的组织之一。独立传播威胁的分支机构越多,攻击的数量就越多。
这个概念与租用云服务非常相似,你只需支付月费就可以访问该结构提供的所有服务。
使用该框架的费用以及提供给附属机构的功能取决于所雇用的网络犯罪分子群体。下面列出这些犯罪分子提供的一些功能,但需要注意的是,这些项目不一定与特定群体的报价有关联性。
-准备分发的恶意软件,逃避检测,并且具有用于执行的混淆技术;
-通过支付赎金获得的资金分配:这里可能有不同的方式。在某些情况下,附属机构收取的金额的百分比可能从50%到70%,甚至高达总金额,因为在某些情况下,网络罪犯只对创建恶意软件和使用的结构收费。
-目前最常见的模式是受害者支付一定比例的赎金;
-通过命令和控制服务器(C&C)完成攻击的全面编排;
-在加密之前,有可能从受害者的环境中窃取敏感信息,用于未来的勒索(Doxing);
- 帮助获得新目标以发动攻击。
最近观察到,勒索软件家族的数量增加了很多,而对威胁本身的检测却减少了。
这意味着恶意软件家族在攻击中变得更加自信,经常利用未修补的漏洞来获得对环境的初始访问。
我们认为勒索软件是一种商业服务模式,其主要目标之一就是“武装”那些想要破坏特定网络结构但知识匮乏的人。虽然勒索软件攻击对组织来说可能是灾难性的,但更让人担忧的是,被雇佣实施破坏服务的人很有可能是目标公司的内部人员或者商业竞争对手。例如Lockbit 2.0勒索软件,在暗网网站上,它邀请那些可以访问公司网络和组织内部信息的人加入它们。
如果犯罪组织的附属公司是员工或服务提供商,这可能是最糟糕的情况之一,因为公司通常保护周边,“忘记”保护内部设备,这使得恶意软件毫无困难地感染环境并开始传播。因此关注组织内部的软件安全,及时检测发现安全漏洞有助于提高内部设备安全性。
犯罪分子如何设法雇用勒索软件服务
如果你对暗网的访问有一点了解,或者一些相关的网站,那么找到RaaS的交易可能只需要很短的时间。
因此,RaaS很可能对全球安全格局产生的影响越来越大,企业应该将这一威胁视为高风险和高可能性,并采取措施防止被勒索软件感染。
防范此类威胁的做法包括:
应用最小特权原则:尽量将网络内所有用户的特权限制到最大。
不但要专注外部防范,要专注整体:当涉及安全时,尽可能全面关注。保护好网络环境中的计算机和软件,而不仅是网络边界。
审查和控制流程:这适用于访问权限、用户、组、流程和环境中的任何其他内容。对特权、组、休假/外出/与公司断开连接的用户以及所有其他方面进行定期审查其环境。
让企业安全环境不断发展:防病毒、防火墙和信息备份已经成为基本操作。更严谨的情况是检测环境中的软件安全,这种安全检测在开发生命周期中即可通过静态代码分析、动态分析等进行,以发现并修复安全漏洞。此外,在已有的安全解决方案基础上,逐步增强安全措施。
帮助员工了解信息安全:诸如定期发起活动以解决识别网络钓鱼的方法、犯罪分子接近受害者的方式、公司内外环境的安全可以有效减少安全事件发生的概率。