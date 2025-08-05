勒索软件即服务 (RaaS) 已成为一种颠覆性的商业模式，其中黑客将传统勒索软件的功能与云服务的可访问性结合起来。这一举措帮助他们将复杂的数字勒索转变为一种基于订阅的经济模式，几乎任何心怀恶意的人都可以参与其中。
历史上，勒索软件攻击主要由技术娴熟的威胁参与者实施，他们自己编写恶意软件，通过网络钓鱼或利用工具传播，并直接与受害者谈判。但这种传统模式存在局限性，例如，可扩展性有限、存在风险以及需要多种技能。
于是，RaaS 模式应运而生。在这种模式下，勒索软件开发人员制作出强大的恶意软件工具，并将其租赁给实施实际攻击的客户或加盟方。开发者可获得 20% 至 40% 的利润，而加盟方则获得剩余的份额。
这使得网络犯罪更容易发生，技能有限的人也可以使用先进工具发起猛烈攻击。
RaaS 是一种网络犯罪业务模式，在该模式下，称为开发人员的专业黑客制作现成的勒索软件工具，并将其出售或租赁给加盟方（其他犯罪分子），后者则利用这些工具实施攻击。如下所述，该过程分为多个阶段。
开发人员或操作员设计勒索软件有效载荷。功能通常包括：
一些复杂的系列中甚至包含模块化功能，如蠕虫式扩散、沙盒规避和多线程加密。
恶意软件一旦生成，就会被打包并通过暗网市场或私人论坛发布。这些平台类似于合法的 SaaS 网站，其功能包括：
一些 RaaS 团队甚至设有客户服务门户网站，帮助加盟方排除部署故障。
根据 Crowdstrike 的说法，RaaS 工具包在暗网市场上做广告，包括全天候支持、捆绑优惠、用户评论、论坛和其他与合法 SaaS 提供商相同的功能。
加盟方通常是其他网络罪犯，他们的技术不如勒索软件开发者，但这些网络罪犯可以通过访问真实网络来传播勒索软件。
在大型 RaaS 运营中，招聘通常由加盟经理或招募人员负责。会有一名专职人员或一个小型团队来寻找、审查和招募加盟方。在规模较小或新推出的 RaaS 运营中，招募通常由开发人员或运营商自己完成。
招募通常通过多种渠道进行，包括 Telegram 或 Jabber 等私信平台、暗网论坛，或邀请加入私密群组。
开发人员可能会在允许加盟方加入群组之前仔细对其进行评估。作为回报，加盟方可以获得勒索软件、文档和工具的访问权。有时，他们会采用基于声誉的招募方式。在极少数情况下，攻击者可能通过伪造的 IT 招聘广告或自由职业平台，招募不知情人员或测试其技术能力。
加盟方通过多种渠道来处理勒索软件的分发，包括：
在某些情况下，加盟方还会部署双重勒索手段，先窃取数据再加密，然后威胁说如果受害者不支付赎金就公开数据。
一旦系统被加密，勒索软件就会显示一条包含付款说明的消息。这些犯罪分子通常索要比特币等加密货币。他们在勒索通知本身中提供了详细的步骤，包括如何使用 Tor 和加密货币钱包。
受害者会收到谈判门户网站的链接。这些门户网站通常托管在 TOR 上。一些 RaaS 团伙使用聊天机器人自动进行这些对话，而另一些团伙则通过人类操作员来完成价格谈判。
这些团伙明确划分了各自的职责。加盟方负责部署勒索软件、发送赎金通知、建立初步沟通并进行谈判。核心开发人员或开发团队则负责后台，包括托管门户网站、验证支付和分发解密密钥。
当这些团伙成功从受害者勒索到金钱时，他们就会按照协议瓜分资金。将商定的金额支付给开发人员，剩余金额将留给加盟方。
RaaS 可通过多种模式运行。其中包括：
当前在 RaaS 模式下运作的主要恶意软件团伙包括：
为了免受 RaaS 的侵害，企业应选择多层防御战略，包括：
勒索软件即服务降低了网络犯罪的门槛，即使是技能低下的攻击者也能发起毁灭性攻击。凭借高度组织化的运营体系、庞大的加盟方网络及成熟的利润分成模式，RaaS 将持续高速演进。
为了应对这种威胁，组织必须采用分层防御策略，包括用户培训、定期备份、使用 EDR/XDR、威胁情报和快速事件响应。
