什么是“勒索软件即服务”(RaaS)?

勒索软件即服务 (RaaS) 允许熟练和不熟练的攻击者租用勒索软件工具并发起攻击。

学习目标

阅读本文后,您将能够:

  • 定义勒索软件即服务 (RaaS)
  • 了解 RaaS 商业模式
  • 了解如何抵御 RaaS 攻击

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是“勒索软件即服务”(RaaS)?

勒索软件即服务 (RaaS) 是犯罪企业的一种商业模式,允许任何人注册并使用工具进行勒索软件攻击。与软件即服务 (SaaS)平台即服务 (PaaS) 等其他即服务模式一样,RaaS 客户租用勒索软件服务,而不是像传统的软件分发模式那样拥有它们。

勒索软件是通常通过加密锁定受害者系统或文件的恶意软件。受害者只有在向勒索软件攻击背后的各方支付赎金后才能重新获得对其数据的访问权限。勒索软件已成为犯罪黑社会的主要产业,每年价值数十亿美元。

尽管许多人认为像勒索软件这样的网络攻击背后的人是高技能的程序员,但许多攻击者并不编写自己的代码,甚至可能不知道如何编写。具有编码技能的网络犯罪分子经常出售或出租他们开发的漏洞,而不是自己使用它们。

勒索软件只是具有“即服务”模式的网络犯罪行业的一个领域。攻击者还可以租用 DDoS 工具、订阅被盗凭据列表、租用僵尸网络或租用银行木马等服务。

勒索软件即服务如何运作?

RaaS 服务使用多种不同的收入模式。提供商可以按月收取固定费率的订阅费、从客户的利润中抽取一定比例、使用这两种模式的混合,或者收取一次性许可费。一旦 RaaS 客户创建帐户并进行首次付款(通常使用比特币),他们就可以选择他们想要使用的恶意软件类型。

付款完成后,攻击者即开始发动传播恶意软件并感染受害者的活动。大多数情况下,勒索软件攻击者使用网络钓鱼社会工程学活动试图诱骗用户执行恶意软件。(与购买零日漏洞或访问后门程序相比,这些方法相当便宜。)一旦恶意软件执行,受害者的计算机就会被加密且无法使用,并且攻击者会显示一条消息,其中包含有关向何处发送赎金的说明。

RaaS 提供商通常为陷入困境或无法使其恶意软件正常运作的攻击者提供全天候的客户支持。大多数提供商都有社区论坛,客户可以在其中提问和交流想法。许多提供商还提供有关如何使用他们的工具执行勒索软件攻击的分步指南。

谁在使用 RaaS?

一些 RaaS 提供商对他们的软件销售对象相当挑剔。他们可能想要追求大目标的高技能客户,这对他们的服务来说是很好的广告。他们可能还有其他要求,例如说某种语言或能够立即开始使用该服务并产生勒索软件收入。

其他人会将他们的服务出售给几乎任何人,只要客户能够以赎金的形式提供付款或产生收入。这给 RaaS 提供商带来了轻微的风险,因为不可避免地,一些客户可能相当不成熟并被抓住。

近年来,许多 RaaS 提供商在允许客户针对哪些行业时更加谨慎。例如,他们可能会禁止对关键基础设施或医疗设施的攻击,因为此类攻击会对某人的健康产生负面影响,甚至导致他们的死亡。这些极端事件引起了对 RaaS 市场的过度关注,并且 RaaS 提供商可能也在道德层面上反对影响他人的身体健康(这与影响他人的银行账户截然不同)。

有哪些勒索软件即服务攻击的例子?

近年来,使用 RaaS 的攻击变得很普遍。以下为一些示例:

  • DarkSide 是一个销售 RaaS 的勒索软件组织。2021 年的 Colonial Pipeline 攻击被认为是 DarkSide 所为。
  • REvil 作为 RaaS 出售。2021 年针对 IT 提供商 Kaseya 的勒索软件攻击使用了 REvil 勒索软件。
  • Dharma 勒索软件作为服务出售,自 2016 年以来已被用于数十次(甚至数百次)攻击。

RaaS 大大降低了这种有利可图的网络犯罪形式的进入门槛——任何拥有计算机和互联网连接的人都可以进行勒索软件攻击。出于这个原因,RaaS 攻击可能会在未来几年继续激增。

犯罪分子在哪里购买勒索软件即服务?

与任何服务一样,RaaS 服务是在互联网上购买和访问的。RaaS 通常通过暗网上的恶意软件论坛分发。(“暗网”是互联网的一部分,只能使用 Tor 浏览器访问,它会隐藏用户的位置和 IP 地址。)

勒索软件即服务提供商如何推销他们的服务?

RaaS 与任何其他行业一样竞争激烈,许多提供商都在积极推销他们的服务。RaaS 提供商拥有 Twitter 帐户、网站、视频内容和其他营销资产。他们经常开展营销活动以推动业务发展。大多数 RaaS 工具也有用户评论和社区论坛。

如何抵御勒索软件即服务的攻击

许多安全措施可以帮助组织抵御勒索软件即服务攻击和一般恶意软件攻击:

  • 用户安全培训:培训员工、承包商和其他用户识别网络钓鱼攻击和社会工程学攻击,减少 RaaS 攻击成功的可能性。
  • 电子邮件安全:许多勒索软件攻击是从受感染的电子邮件附件开始的。扫描电子邮件中的恶意软件并阻止来自不可信任来源的电子邮件附件可以帮助消除这种攻击媒介
  • 频繁的数据备份:勒索软件使组织无法访问或使用其数据。但在许多情况下,组织可以从备份中恢复他们的数据,而不是支付赎金来解密或从头开始重建所有的 IT 基础设施。

要了解更多有关防御 RaaS 攻击的信息,请参阅如何防范勒索软件