什么是勒索软件即服务 (RaaS)?
RaaS 是一种网络犯罪商业模式,勒索软件开发人员将其恶意软件出售给其他黑客。
订阅 IBM 时事通讯 探索 IBM Security QRadar
显示不同办公室人员的等轴测图,全部使用 IBM Security
什么是勒索软件即服务?

勒索软件即服务 (RaaS) 是一种网络犯罪商业模式,勒索软件团伙将其勒索软件代码出售给其他黑客,然后这些黑客使用该代码实施自己的勒索软件攻击。

根据 IBM 的 X-Force 威胁情报指数,勒索软件是 2022 年第二大常见的网络攻击类型。很多专家认为,RaaS 的兴起是勒索软件变得如此猖獗的原因之一。Zscaler 的 2022 年报告(ibm.com 外部链接)指出,11 个最活跃的勒索软件变体中有 8 个是 RaaS 变体。

不难理解为什么 RaaS 模式在网络犯罪分子中如此受欢迎。RaaS 降低了实施网络犯罪的门槛,甚至技术技能有限的威胁参与者也能实施网络攻击。此外,RaaS 是互惠互利的:黑客无需开发自己的恶意软件即可从勒索中获利,而勒索软件开发人员无需手动攻击网络即可增加利润。

RaaS 模式的工作方式

RaaS 的工作方式与合法的软件即服务 (SaaS) 商业模式相同。勒索软件开发人员(也称为 RaaS 运营商)承担开发和维护勒索软件工具和基础架构的工作。他们将工具和服务打包成 RaaS 套件,然后出售给其他黑客(称为 RaaS 加盟机构)。

大多数运营商使用以下收入模式之一销售其套件:

  • 每月订阅:RaaS 加盟机构支付经常性费用(有时每月只需 40 美元)以访问勒索软件工具。

  • 一次性费用:加盟机构支付一次性费用以直接购买勒索软件代码。

  • 加盟模式:加盟机构按月支付费用,并与运营商分享他们收到的赎金中的一小部分。

  • 利润分成:运营商不预先收取任何费用,但从加盟机构收到的每笔赎金中抽取大量佣金,通常为 30-40%。

RaaS 套件在暗网论坛上做广告,一些勒索软件运营商积极招募新的加盟机构。例如,REvil 集团在 2020 年 10 月的一次重大招聘活动中花费了 100 万美元(ibm.com 外部链接)。

一旦购买了套件,加盟机构获得的不仅仅是恶意软件和解密密钥,他们通常还会获得与合法 SaaS 供应商同等水平的服务和支持。一些最先进的 RaaS 运营商可能会提供一些便利条件,例如,提供持续的技术支持,访问私人论坛(黑客可以在其中交流技巧和交换信息),访问支付处理门户(因为大多数赎金是以无法追踪的加密货币支付的,如比特币),甚至提供工具和支持以编写定制的勒索信或协商赎金要求。

RaaS 攻击的网络安全挑战

虽然盈利潜力是 RaaS 激增的一个主要因素,但加盟计划也为黑客和勒索软件开发人员提供了额外的好处,这给网络安全专业人员带来了额外的挑战。

无法准确找出勒索软件事件原因。在 RaaS 模式下,实施网络攻击的人可能与开发正在使用的恶意软件的人不同。此外,不同的黑客组织可能使用相同的勒索软件。网络安全专业人员可能无法明确将攻击归因于特定群体,从而使分析和抓获 RaaS 运营商和加盟机构变得更加困难。

网络犯罪分子趋于专业化。就像合法经济一样,网络犯罪经济也导致了劳动分工。威胁参与者现在可以专业化和完善他们的技术。开发人员可以专注于制作越来越强大的恶意软件,而加盟机构可以专注于开发更有效的攻击方法。第三类网络犯罪分子称为“接入经纪人”,专门渗透网络并向攻击者出售接入点。专业化使黑客能够更快地移动并实施更多攻击。根据 X-Force 威胁情报指数,执行勒索软件攻击的平均时间从 2019 年的 60 多天下降到 2022 年的 3.85 天。

更有弹性的勒索软件威胁。RaaS 允许运营商和加盟机构分担风险,从而提高了各自的弹性。抓获加盟机构并不会取缔运营商;如果运营商被抓获,加盟机构可以切换到另一个勒索软件套件。众所周知,黑客还会重组和重塑他们的活动以逃避监管部门的打击。例如,在美国外国资产控制办公室 (OFAC) 制裁 Evil Corp 勒索软件团伙后,受害者停止支付赎金以避免受到 OFAC 的处罚。作为回应,Evil Corp 多次更改其勒索软件名称以保证付款顺利进行(ibm.com 外部链接)。

值得注意的 RaaS 变体

很难确定哪些团伙对哪些勒索软件负责,或者哪些运营商在特定时间正式变得活跃。话虽如此,网络安全专业人员多年来已确定了一些主要的 RaaS 运营商,包括:

  • Tox:Tox 于 2015 年首次被发现,被很多人认为是第一个 RaaS。
  • LockBit:LockBit 是当今最猖獗的 RaaS 变体之一,占 2022 年观察到的勒索软件事件的 17%,比任何其他变体都多。LockBit 经常通过网络钓鱼电子邮件进行传播。值得注意的是,LockBit 背后的团伙试图招募加盟机构为其目标受害者工作,从而使渗透变得更轻松。
  • DarkSide:DarkSide 的勒索软件变体被用于 2021 年针对美国 Colonial Pipeline 的攻击,这被认为是迄今为止对美国关键基础设施最严重的网络攻击。DarkSide 于 2021 年被取缔,但其开发人员发布了名为 BlackMatter 的后续 RaaS 套件。
  • REvil/Sodinokibi:REvil 也称为 Sodin 或 Sodinokibi,制作了 2021 年针对 JBS USA 和 Kaseya Limited 的攻击中使用的勒索软件。在其鼎盛时期,REvil 是传播最广泛的勒索软件变体之一,占 2021 年勒索软件攻击的 37%。俄罗斯联邦安全局于 2022 年初取缔了 REvil,并对几名主要成员提出了指控,但该团伙的 RaaS 基础架构于 2022 年 4 月再次搭建(ibm.com 外部链接)。
  • Ryuk:在 2021 年取缔之前,Ryuk 是最大的 RaaS 运营商之一。Ryuk 背后的开发人员随后发布了 Conti,这是另一个主要的 RaaS 变体,曾在 2022 年用于攻击哥斯达黎加政府(ibm.com 外部链接)。
  • Hive:Hive 于 2022 年 Microsoft Exchange Server 遭受攻击后声名鹊起。在 FBI 于 2023 年取缔该运营商之前,Hive 加盟机构一直对金融公司和医疗保健组织构成重大威胁(ibm.com 外部链接)。
防范 RaaS

虽然 RaaS 改变了威胁态势,但很多勒索软件防护标准做法仍然可以有效地抵御 RaaS 攻击。很多 RaaS 加盟机构在技术上不如以前的勒索软件攻击者那么熟练。在黑客和网络资产之间设置足够强大的障碍可能会完全阻止某些 RaaS 攻击。其他网络安全策略可能包括:

  • 保留敏感数据和系统映像备份,最好保存在硬盘驱动器或其他可以与网络断开连接的设备上。

  • 减少网络攻击面,即定期应用补丁以消除经常被利用的漏洞。安全工具也可以帮助安全团队更快地拦截勒索软件,例如,防病毒软件、安全编排、自动化和响应 (SOAR)端点检测和响应 (EDR)安全信息和事件管理 (SIEM) 以及扩展检测和响应 (XDR)

  • 网络安全培训可以帮助员工识别和避开常见的勒索软件载体,例如网络钓鱼、社交工程和恶意链接。

  • 实施访问控制(例如多因素身份验证零信任体系结构和网络分段)可以防止勒索软件获取特别敏感的数据。

  • 全面的事件响应计划可以帮助安全团队应对大多数网络威胁,但对 RaaS 攻击特别有帮助。由于无法准确找出攻击原因,因此,事件响应团队不能指望勒索软件攻击始终使用相同的策略、技术和程序 (TTP)。此外,在事件响应者踢出 RaaS 加盟机构时,接入经纪人可能仍然在其网络上非常活跃。主动的威胁搜寻和彻底的事件调查可以帮助安全团队消除这些规避的威胁。
相关解决方案
IBM Security® QRadar® SIEM

捕获其他人难以察觉的高级威胁。QRadar SIEM 利用分析和人工智能监控威胁情报、网络和用户行为异常,并优先处理需要立即关注和修复的威胁。

深入了解 QRadar SIEM 解决方案

IBM Security QRadar EDR

通过利用这种复杂且易于使用的端点检测和响应 (EDR) 解决方案,保护端点以免受到网络攻击,检测异常行为并近乎实时地进行修复。

探索 QRadar EDR

勒索软件防御解决方案

阻止勒索软件中断业务连续性,并在发生攻击时快速恢复 - 采用零信任方法,帮助您更快地检测和响应勒索软件,并最大限度减少勒索软件攻击造成的影响。

深入了解勒索软件防范解决方案
资源 X-Force Threat Intelligence 指数

找到切实可行的见解,以帮助您了解威胁参与者如何实施攻击,以及如何主动保护您的组织。

勒索软件权威指南

了解在勒索软件攻击渗透防御系统之前保护您的企业的关键步骤,以及在对手突破边界时实现最佳恢复的关键步骤。

数据泄露成本

今年是该报告发布的第 17 个年头,它分享了对不断扩大的威胁态势的最新见解,并提供了节省时间和限制损失的建议。

IBM 安全框架与发现研讨会

与 IBM 高级安全架构师和顾问合作,通过免费、虚拟或面对面的 3 小时设计思维会议确定您的网络安全计划的优先级。

让民众更安全,让社区更强大

洛杉矶与 IBM Security 合作创建首个网络威胁共享小组,以防范网络犯罪。

什么是 SIEM?

安全信息和事件管理 (SIEM) 提供事件实时监控和分析以及安全数据跟踪和日志记录,以实现合规或审计目的。

采取下一步行动

网络安全威胁变得更加先进和持久,安全分析师需要付出更多努力以筛选无数的警报和事件。IBM Security QRadar SIEM 可以轻松快捷地修复威胁,而不会对您的企业的财务状况造成不利影响。QRadar SIEM 优先处理高精确度的警报,以帮助您捕获其他人难以察觉的威胁。

了解 QRadar SIEM 的更多信息 申请 QRadar SIEM 演示