勒索軟件即服務(wù)(RaaS)是什么?這個模型是如何工作的?

Ransomware as a Service是一個英語術(shù)語,指的是一種商業(yè)模型，其中勒索軟件開發(fā)者向感興趣的惡意行為者提供工具，以便他們可以發(fā)起勒索軟件攻擊。使用者通過簽約創(chuàng)建惡意軟件即服務(wù)或加入聯(lián)盟計劃，并分發(fā)一系列勒索軟件以換取一定比例的利潤。 這種圍繞勒索軟件的商業(yè)模式并不是新的，也不是這種類型的網(wǎng)絡(luò)威脅獨有的，還有惡意軟件即服務(wù)。但在過去兩年中，RaaS已經(jīng)發(fā)展壯大，目前有許多勒索軟件組織在這種條件下運行。

究竟什么是勒索軟件即服務(wù)或RaaS?

該服務(wù)由開發(fā)此類惡意代碼的網(wǎng)絡(luò)犯罪集團提供的，并在他們尋求招募附屬機構(gòu)的秘密論壇中提供，這些附屬機構(gòu)是簽約該服務(wù)的人。

這是兩個部分：勒索軟件的創(chuàng)建者和負責(zé)分發(fā)威脅的附屬機構(gòu)或服務(wù)承包商。

附屬機構(gòu)可以訪問強大且開發(fā)良好的基礎(chǔ)設(shè)施，其中包含旨在繞過防御的惡意代碼，不需要編程或構(gòu)建自己的東西。同樣，獲得該服務(wù)的人可以訪問控制面板，設(shè)置將向每個受害者索取贖金的金額。

一些勒索軟件組織，如REvil，在2021年的一次采訪中透露，他們有60個附屬成員分發(fā)這種勒索軟件，這解釋了REvil在2020年至2021年期間的受歡迎程度，它是全球最活躍的組織之一。獨立傳播威脅的分支機構(gòu)越多，攻擊的數(shù)量就越多。

這個概念與租用云服務(wù)非常相似，你只需支付月費就可以訪問該結(jié)構(gòu)提供的所有服務(wù)。

使用該框架的費用以及提供給附屬機構(gòu)的功能取決于所雇用的網(wǎng)絡(luò)犯罪分子群體。下面列出這些犯罪分子提供的一些功能，但需要注意的是，這些項目不一定與特定群體的報價有關(guān)聯(lián)性。

-準備分發(fā)的惡意軟件，逃避檢測，并且具有用于執(zhí)行的混淆技術(shù);

-通過支付贖金獲得的資金分配：這里可能有不同的方式。在某些情況下，附屬機構(gòu)收取的金額的百分比可能從50%到70%，甚至高達總金額，因為在某些情況下，網(wǎng)絡(luò)罪犯只對創(chuàng)建惡意軟件和使用的結(jié)構(gòu)收費。

-目前最常見的模式是受害者支付一定比例的贖金;

-通過命令和控制服務(wù)器(C&C)完成攻擊的全面編排;

-在加密之前，有可能從受害者的環(huán)境中竊取敏感信息，用于未來的勒索；

- 幫助獲得新目標以發(fā)動攻擊。

最近觀察到，勒索軟件家族的數(shù)量增加了很多，而對威脅本身的檢測卻減少了。

這意味著惡意軟件家族在攻擊中變得更加自信，經(jīng)常利用未修補的漏洞來獲得對環(huán)境的初始訪問。

我們認為勒索軟件是一種商業(yè)服務(wù)模式，其主要目標之一就是“武裝”那些想要破壞特定網(wǎng)絡(luò)結(jié)構(gòu)但知識匱乏的人。雖然勒索軟件攻擊對組織來說可能是災(zāi)難性的，但更讓人擔(dān)憂的是，被雇傭?qū)嵤┢茐姆?wù)的人很有可能是目標公司的內(nèi)部人員或者商業(yè)競爭對手。例如Lockbit 2.0勒索軟件，在暗網(wǎng)網(wǎng)站上，它邀請那些可以訪問公司網(wǎng)絡(luò)和組織內(nèi)部信息的人加入它們。

如果犯罪組織的附屬公司是員工或服務(wù)提供商，這可能是最糟糕的情況之一，因為公司通常保護周邊，“忘記”保護內(nèi)部設(shè)備，這使得惡意軟件毫無困難地感染環(huán)境并開始傳播。因此關(guān)注組織內(nèi)部的軟件安全，及時檢測發(fā)現(xiàn)安全漏洞有助于提高內(nèi)部設(shè)備安全性。

犯罪分子如何設(shè)法雇用勒索軟件服務(wù)

如果你對暗網(wǎng)的訪問有一點了解，或者一些相關(guān)的網(wǎng)站，那么找到RaaS的交易可能只需要很短的時間。

因此，RaaS很可能對全球安全格局產(chǎn)生的影響越來越大，企業(yè)應(yīng)該將這一威脅視為高風(fēng)險和高可能性，并采取措施防止被勒索軟件感染。

防范此類威脅的做法包括：

應(yīng)用最小特權(quán)原則：盡量將網(wǎng)絡(luò)內(nèi)所有用戶的特權(quán)限制到最大。

不但要專注外部防范，要專注整體：當(dāng)涉及安全時，盡可能全面關(guān)注。保護好網(wǎng)絡(luò)環(huán)境中的計算機和軟件，而不僅是網(wǎng)絡(luò)邊界。

審查和控制流程：這適用于訪問權(quán)限、用戶、組、流程和環(huán)境中的任何其他內(nèi)容。對特權(quán)、組、休假/外出/與公司斷開連接的用戶以及所有其他方面進行定期審查其環(huán)境。

讓企業(yè)安全環(huán)境不斷發(fā)展：防病毒、防火墻和信息備份已經(jīng)成為基本操作。更嚴謹?shù)那闆r是檢測環(huán)境中的軟件安全，這種安全檢測在開發(fā)生命周期中即可通過靜態(tài)代碼分析、動態(tài)分析等進行，以發(fā)現(xiàn)并修復(fù)安全漏洞。此外，在已有的安全解決方案基礎(chǔ)上，逐步增強安全措施。

幫助員工了解信息安全：諸如定期發(fā)起活動以解決識別網(wǎng)絡(luò)釣魚的方法、犯罪分子接近受害者的方式、公司內(nèi)外環(huán)境的安全可以有效減少安全事件發(fā)生的概率。

文章來源：

https://www.welivesecurity.com/la-es/2022/02/23/ransomware-as-a-service-raas-que-es-como-funciona/