RaaS 的工作方式与合法的软件即服务 (SaaS) 商业模式相同。勒索软件开发人员（也称为 RaaS 运营商）承担开发和维护勒索软件工具和基础架构的工作。他们将工具和服务打包成 RaaS 套件，然后出售给其他黑客（称为 RaaS 加盟机构）。

大多数运营商使用以下收入模式之一销售其套件：

• 每月订阅：RaaS 加盟机构支付经常性费用（有时每月只需 40 美元）以访问勒索软件工具。
  
  
• 一次性费用：加盟机构支付一次性费用以直接购买勒索软件代码。
  
  
• 加盟模式：加盟机构按月支付费用，并与运营商分享他们收到的赎金中的一小部分。
  
  
• 利润分成：运营商不预先收取任何费用，但从加盟机构收到的每笔赎金中抽取大量佣金，通常为 30-40%。

RaaS 套件在暗网论坛上做广告，一些勒索软件运营商积极招募新的加盟机构。例如，REvil 集团在 2020 年 10 月的一次重大招聘活动中花费了 100 万美元（ibm.com 外部链接）。

一旦购买了套件，加盟机构获得的不仅仅是恶意软件和解密密钥，他们通常还会获得与合法 SaaS 供应商同等水平的服务和支持。一些最先进的 RaaS 运营商可能会提供一些便利条件，例如，提供持续的技术支持，访问私人论坛（黑客可以在其中交流技巧和交换信息），访问支付处理门户（因为大多数赎金是以无法追踪的加密货币支付的，如比特币），甚至提供工具和支持以编写定制的勒索信或协商赎金要求。

虽然盈利潜力是 RaaS 激增的一个主要因素，但加盟计划也为黑客和勒索软件开发人员提供了额外的好处，这给网络安全专业人员带来了额外的挑战。

无法准确找出勒索软件事件原因。在 RaaS 模式下，实施网络攻击的人可能与开发正在使用的恶意软件的人不同。此外，不同的黑客组织可能使用相同的勒索软件。网络安全专业人员可能无法明确将攻击归因于特定群体，从而使分析和抓获 RaaS 运营商和加盟机构变得更加困难。

网络犯罪分子趋于专业化。就像合法经济一样，网络犯罪经济也导致了劳动分工。威胁参与者现在可以专业化和完善他们的技术。开发人员可以专注于制作越来越强大的恶意软件，而加盟机构可以专注于开发更有效的攻击方法。第三类网络犯罪分子称为“接入经纪人”，专门渗透网络并向攻击者出售接入点。专业化使黑客能够更快地移动并实施更多攻击。根据 X-Force 威胁情报指数，执行勒索软件攻击的平均时间从 2019 年的 60 多天下降到 2022 年的 3.85 天。

更有弹性的勒索软件威胁。RaaS 允许运营商和加盟机构分担风险，从而提高了各自的弹性。抓获加盟机构并不会取缔运营商；如果运营商被抓获，加盟机构可以切换到另一个勒索软件套件。众所周知，黑客还会重组和重塑他们的活动以逃避监管部门的打击。例如，在美国外国资产控制办公室 (OFAC) 制裁 Evil Corp 勒索软件团伙后，受害者停止支付赎金以避免受到 OFAC 的处罚。作为回应，Evil Corp 多次更改其勒索软件名称以保证付款顺利进行（ibm.com 外部链接）。

很难确定哪些团伙对哪些勒索软件负责，或者哪些运营商在特定时间正式变得活跃。话虽如此，网络安全专业人员多年来已确定了一些主要的 RaaS 运营商，包括：

• Tox：Tox 于 2015 年首次被发现，被很多人认为是第一个 RaaS。

• LockBit：LockBit 是当今最猖獗的 RaaS 变体之一，占 2022 年观察到的勒索软件事件的 17%，比任何其他变体都多。LockBit 经常通过网络钓鱼电子邮件进行传播。值得注意的是，LockBit 背后的团伙试图招募加盟机构为其目标受害者工作，从而使渗透变得更轻松。

• DarkSide：DarkSide 的勒索软件变体被用于 2021 年针对美国 Colonial Pipeline 的攻击，这被认为是迄今为止对美国关键基础设施最严重的网络攻击。DarkSide 于 2021 年被取缔，但其开发人员发布了名为 BlackMatter 的后续 RaaS 套件。

• REvil/Sodinokibi：REvil 也称为 Sodin 或 Sodinokibi，制作了 2021 年针对 JBS USA 和 Kaseya Limited 的攻击中使用的勒索软件。在其鼎盛时期，REvil 是传播最广泛的勒索软件变体之一，占 2021 年勒索软件攻击的 37%。俄罗斯联邦安全局于 2022 年初取缔了 REvil，并对几名主要成员提出了指控，但该团伙的 RaaS 基础架构于 2022 年 4 月再次搭建（ibm.com 外部链接）。

• Ryuk：在 2021 年取缔之前，Ryuk 是最大的 RaaS 运营商之一。Ryuk 背后的开发人员随后发布了 Conti，这是另一个主要的 RaaS 变体，曾在 2022 年用于攻击哥斯达黎加政府（ibm.com 外部链接）。

• Hive：Hive 于 2022 年 Microsoft Exchange Server 遭受攻击后声名鹊起。在 FBI 于 2023 年取缔该运营商之前，Hive 加盟机构一直对金融公司和医疗保健组织构成重大威胁（ibm.com 外部链接）。

虽然 RaaS 改变了威胁态势，但很多勒索软件防护标准做法仍然可以有效地抵御 RaaS 攻击。很多 RaaS 加盟机构在技术上不如以前的勒索软件攻击者那么熟练。在黑客和网络资产之间设置足够强大的障碍可能会完全阻止某些 RaaS 攻击。其他网络安全策略可能包括：

• 保留敏感数据和系统映像备份，最好保存在硬盘驱动器或其他可以与网络断开连接的设备上。
  
  
• 减少网络攻击面，即定期应用补丁以消除经常被利用的漏洞。安全工具也可以帮助安全团队更快地拦截勒索软件，例如，防病毒软件、安全编排、自动化和响应 (SOAR)、端点检测和响应 (EDR)、安全信息和事件管理 (SIEM) 以及扩展检测和响应 (XDR)。
  
  
• 网络安全培训可以帮助员工识别和避开常见的勒索软件载体，例如网络钓鱼、社交工程和恶意链接。
  
  
• 实施访问控制（例如多因素身份验证、零信任体系结构和网络分段）可以防止勒索软件获取特别敏感的数据。
  
  
• 全面的事件响应计划可以帮助安全团队应对大多数网络威胁，但对 RaaS 攻击特别有帮助。由于无法准确找出攻击原因，因此，事件响应团队不能指望勒索软件攻击始终使用相同的策略、技术和程序 (TTP)。此外，在事件响应者踢出 RaaS 加盟机构时，接入经纪人可能仍然在其网络上非常活跃。主动的威胁搜寻和彻底的事件调查可以帮助安全团队消除这些规避的威胁。