勒索软件即服务 (RaaS) 是一种网络犯罪商业模式,勒索软件团伙将其勒索软件代码出售给其他黑客,然后这些黑客使用该代码实施自己的勒索软件攻击。
根据 IBM 的 X-Force 威胁情报指数,勒索软件是 2022 年第二大常见的网络攻击类型。很多专家认为,RaaS 的兴起是勒索软件变得如此猖獗的原因之一。Zscaler 的 2022 年报告(ibm.com 外部链接)指出,11 个最活跃的勒索软件变体中有 8 个是 RaaS 变体。
不难理解为什么 RaaS 模式在网络犯罪分子中如此受欢迎。RaaS 降低了实施网络犯罪的门槛,甚至技术技能有限的威胁参与者也能实施网络攻击。此外,RaaS 是互惠互利的:黑客无需开发自己的恶意软件即可从勒索中获利,而勒索软件开发人员无需手动攻击网络即可增加利润。
RaaS 的工作方式与合法的软件即服务 (SaaS) 商业模式相同。勒索软件开发人员(也称为 RaaS 运营商)承担开发和维护勒索软件工具和基础架构的工作。他们将工具和服务打包成 RaaS 套件,然后出售给其他黑客(称为 RaaS 加盟机构)。
大多数运营商使用以下收入模式之一销售其套件:
RaaS 套件在暗网论坛上做广告,一些勒索软件运营商积极招募新的加盟机构。例如,REvil 集团在 2020 年 10 月的一次重大招聘活动中花费了 100 万美元(ibm.com 外部链接)。
一旦购买了套件,加盟机构获得的不仅仅是恶意软件和解密密钥,他们通常还会获得与合法 SaaS 供应商同等水平的服务和支持。一些最先进的 RaaS 运营商可能会提供一些便利条件,例如,提供持续的技术支持,访问私人论坛(黑客可以在其中交流技巧和交换信息),访问支付处理门户(因为大多数赎金是以无法追踪的加密货币支付的,如比特币),甚至提供工具和支持以编写定制的勒索信或协商赎金要求。
虽然盈利潜力是 RaaS 激增的一个主要因素,但加盟计划也为黑客和勒索软件开发人员提供了额外的好处,这给网络安全专业人员带来了额外的挑战。
无法准确找出勒索软件事件原因。在 RaaS 模式下,实施网络攻击的人可能与开发正在使用的恶意软件的人不同。此外,不同的黑客组织可能使用相同的勒索软件。网络安全专业人员可能无法明确将攻击归因于特定群体,从而使分析和抓获 RaaS 运营商和加盟机构变得更加困难。
网络犯罪分子趋于专业化。就像合法经济一样,网络犯罪经济也导致了劳动分工。威胁参与者现在可以专业化和完善他们的技术。开发人员可以专注于制作越来越强大的恶意软件,而加盟机构可以专注于开发更有效的攻击方法。第三类网络犯罪分子称为“接入经纪人”,专门渗透网络并向攻击者出售接入点。专业化使黑客能够更快地移动并实施更多攻击。根据 X-Force 威胁情报指数,执行勒索软件攻击的平均时间从 2019 年的 60 多天下降到 2022 年的 3.85 天。
更有弹性的勒索软件威胁。RaaS 允许运营商和加盟机构分担风险,从而提高了各自的弹性。抓获加盟机构并不会取缔运营商;如果运营商被抓获,加盟机构可以切换到另一个勒索软件套件。众所周知,黑客还会重组和重塑他们的活动以逃避监管部门的打击。例如,在美国外国资产控制办公室 (OFAC) 制裁 Evil Corp 勒索软件团伙后,受害者停止支付赎金以避免受到 OFAC 的处罚。作为回应,Evil Corp 多次更改其勒索软件名称以保证付款顺利进行(ibm.com 外部链接)。
很难确定哪些团伙对哪些勒索软件负责,或者哪些运营商在特定时间正式变得活跃。话虽如此,网络安全专业人员多年来已确定了一些主要的 RaaS 运营商,包括:
虽然 RaaS 改变了威胁态势,但很多勒索软件防护标准做法仍然可以有效地抵御 RaaS 攻击。很多 RaaS 加盟机构在技术上不如以前的勒索软件攻击者那么熟练。在黑客和网络资产之间设置足够强大的障碍可能会完全阻止某些 RaaS 攻击。其他网络安全策略可能包括:
捕获其他人难以察觉的高级威胁。QRadar SIEM 利用分析和人工智能监控威胁情报、网络和用户行为异常,并优先处理需要立即关注和修复的威胁。
通过利用这种复杂且易于使用的端点检测和响应 (EDR) 解决方案,保护端点以免受到网络攻击,检测异常行为并近乎实时地进行修复。
阻止勒索软件中断业务连续性,并在发生攻击时快速恢复 - 采用零信任方法,帮助您更快地检测和响应勒索软件,并最大限度减少勒索软件攻击造成的影响。
找到切实可行的见解,以帮助您了解威胁参与者如何实施攻击,以及如何主动保护您的组织。
了解在勒索软件攻击渗透防御系统之前保护您的企业的关键步骤,以及在对手突破边界时实现最佳恢复的关键步骤。
今年是该报告发布的第 17 个年头,它分享了对不断扩大的威胁态势的最新见解,并提供了节省时间和限制损失的建议。
与 IBM 高级安全架构师和顾问合作,通过免费、虚拟或面对面的 3 小时设计思维会议确定您的网络安全计划的优先级。
洛杉矶与 IBM Security 合作创建首个网络威胁共享小组,以防范网络犯罪。
安全信息和事件管理 (SIEM) 提供事件实时监控和分析以及安全数据跟踪和日志记录,以实现合规或审计目的。