勒索软件即服务 (RaaS) 已成为一种颠覆性的商业模式，其中黑客将传统勒索软件的功能与云服务的可访问性结合起来。这一举措帮助他们将复杂的数字勒索转变为一种基于订阅的经济模式，几乎任何心怀恶意的人都可以参与其中。

历史上，勒索软件攻击主要由技术娴熟的威胁参与者实施，他们自己编写恶意软件，通过网络钓鱼或利用工具传播，并直接与受害者谈判。但这种传统模式存在局限性，例如，可扩展性有限、存在风险以及需要多种技能。

于是，RaaS 模式应运而生。在这种模式下，勒索软件开发人员制作出强大的恶意软件工具，并将其租赁给实施实际攻击的客户或加盟方。开发者可获得 20% 至 40% 的利润，而加盟方则获得剩余的份额。

这使得网络犯罪更容易发生，技能有限的人也可以使用先进工具发起猛烈攻击。

勒索软件即服务的工作原理

RaaS 是一种网络犯罪业务模式，在该模式下，称为开发人员的专业黑客制作现成的勒索软件工具，并将其出售或租赁给加盟方（其他犯罪分子），后者则利用这些工具实施攻击。如下所述，该过程分为多个阶段。

1. 恶意软件的开发

开发人员或操作员设计勒索软件有效载荷。功能通常包括：

  • 用于锁定受害者数据的加密算法
  • 自删除技术
  • 绕过防病毒软件和 EDR 的规避方法
  • 内置通信信道（如基于 TOR 的命令和控制）

一些复杂的系列中甚至包含模块化功能，如蠕虫式扩散、沙盒规避和多线程加密。

2. RaaS 平台托管

恶意软件一旦生成，就会被打包并通过暗网市场或私人论坛发布。这些平台类似于合法的 SaaS 网站，其功能包括：

  • 用于跟踪感染的用户仪表板
  • 支付门户和解密密钥管理
  • 支持论坛
  • 更新和功能发布
  • 面向其加盟方的营销材料

一些 RaaS 团队甚至设有客户服务门户网站，帮助加盟方排除部署故障。

根据 Crowdstrike 的说法，RaaS 工具包在暗网市场上做广告，包括全天候支持、捆绑优惠、用户评论、论坛和其他与合法 SaaS 提供商相同的功能。

3. 加盟招募

加盟方通常是其他网络罪犯，他们的技术不如勒索软件开发者，但这些网络罪犯可以通过访问真实网络来传播勒索软件。

在大型 RaaS 运营中，招聘通常由加盟经理或招募人员负责。会有一名专职人员或一个小型团队来寻找、审查和招募加盟方。在规模较小或新推出的 RaaS 运营中，招募通常由开发人员或运营商自己完成。

招募通常通过多种渠道进行，包括 Telegram 或 Jabber 等私信平台、暗网论坛，或邀请加入私密群组。

开发人员可能会在允许加盟方加入群组之前仔细对其进行评估。作为回报，加盟方可以获得勒索软件、文档和工具的访问权。有时，他们会采用基于声誉的招募方式。在极少数情况下，攻击者可能通过伪造的 IT 招聘广告或自由职业平台，招募不知情人员或测试其技术能力。

4. 有效载荷交付

加盟方通过多种渠道来处理勒索软件的分发，包括：

  • 带有恶意附件的网络钓鱼电子邮件
  • 恶意广告
  • 遭入侵的网站
  • 利用未打补丁的软件或漏洞
  • 初始访问代理 (IAB) 或初始入侵者（这些犯罪分子专门出售遭入侵的网络接入点）

在某些情况下，加盟方还会部署双重勒索手段，先窃取数据再加密，然后威胁说如果受害者不支付赎金就公开数据。

5. 与受害者达成付款交易

一旦系统被加密，勒索软件就会显示一条包含付款说明的消息。这些犯罪分子通常索要比特币等加密货币。他们在勒索通知本身中提供了详细的步骤，包括如何使用 Tor 和加密货币钱包。

受害者会收到谈判门户网站的链接。这些门户网站通常托管在 TOR 上。一些 RaaS 团伙使用聊天机器人自动进行这些对话，而另一些团伙则通过人类操作员来完成价格谈判。

这些团伙明确划分了各自的职责。加盟方负责部署勒索软件、发送赎金通知、建立初步沟通并进行谈判。核心开发人员或开发团队则负责后台，包括托管门户网站、验证支付和分发解密密钥。

6. 利润分成

当这些团伙成功从受害者勒索到金钱时，他们就会按照协议瓜分资金。将商定的金额支付给开发人员，剩余金额将留给加盟方。

RaaS 商业模式

RaaS 可通过多种模式运行。其中包括：

  • 加盟/利润分成：加盟方无需支付任何前期费用，但开发人员可以从每笔赎金中获得分成。这是最常见的模式。
  • 订阅式：加盟方支付月度费用以使用勒索软件工具包并获得支持。
  • 一次性许可：支付固定费用即可无限次访问恶意软件，但不提供后续支持。
  • 定制：向单一买方出售量身打造的的勒索软件，通常用于高价值攻击或针对性攻击。

真实的 RaaS 团伙

当前在 RaaS 模式下运作的主要恶意软件团伙包括：

  • REvil：该团伙曾为加盟方提供详细的仪表板，并在解散前经常代表他们进行赎金谈判。
  • DarkSide：这个团伙以专业品牌推广、公关声明甚至行为准则而闻名。
  • Conti：这个团伙在解散前以企业化模式运作，设有薪资体系、管理和绩效考核制度。
  • LockBit：这个团伙仍然很活跃，以激进的策略和公共泄露站点而闻名。

注意事项：如何防御 RaaS 侵害

为了免受 RaaS 的侵害，企业应选择多层防御战略，包括：

  1. 用户意识：网络钓鱼是最常见的切入点。定期培训可以让用户了解网络攻击。
  2. 基于行为的启发式检测：Raas 每天都会推出新的服务。入侵指标 (IOC) 可以检测网络、系统或端点中是否存在恶意活动或安全漏洞的证据。当勒索软件攻击中每分每秒都至关重要时，EDR/XDR 工具能够实时检测、遏制攻击并作出响应
  3. 特征映射：每个勒索软件家族都具有独特的行为特征与有效载荷特性。映射这些特征有助于制定更具针对性的防御措施。企业可以定期更新威胁情报源，并将其集成到 SIEM 或 SOAR 平台。MITRE ATT&CK 框架或 Threat Fox 非常适合用于此目的。用户可以选择订阅 Any.run 恶意软件趋势，以获取有关顶级恶意软件类型、IOC 或 TTP 的定期详细报告。用户还可以充分利用其仪表板来查看有关恶意软件家族的详细信息。
  4. 文件完整性监控：如果用户执行文件完整性监控，他们便可以轻松检测对系统中文件和目录的未经授权的更改。当关键文件（如系统配置或可执行文件）被修改、删除或添加时，他们会收到警报。这有助于尽早识别恶意软件、后门甚至是内部威胁的迹象。
  5. 补丁和更新：定期打补丁对防御 RaaS 起着关键作用，因为许多 RaaS 加盟方会寻找未打补丁的软件进行访问。
  6. 端点检测和响应 (EDR)：部署 EDR 可防范 RaaS。EDR 会执行行为分析，以便在早期执行阶段捕获勒索软件。
  7. 零信任架构：通过采用零信任架构，即使系统受到入侵，横向移动攻击也会受到限制。
  8. 分段：将关键系统隔离成不同的分段，这有助于防止对网络进行全面加密。
  9. 脱机备份：脱机备份不受感染影响，因此，如果在线备份遭到泄露，用户可以安全地从脱机副本中进行恢复。
  10. 合规：保持端点合规性显著降低了勒索软件即服务 (RaaS) 带来的风险。企业必须确保系统经过强化，没有漏洞，并使用最新的反恶意软件定义进行更新。

勒索软件即服务降低了网络犯罪的门槛，即使是技能低下的攻击者也能发起毁灭性攻击。凭借高度组织化的运营体系、庞大的加盟方网络及成熟的利润分成模式，RaaS 将持续高速演进。

为了应对这种威胁，组织必须采用分层防御策略，包括用户培训、定期备份、使用 EDR/XDR、威胁情报和快速事件响应。
