RaaS는 합법적인 서비스형 소프트웨어(SaaS) 비즈니스 모델과 동일한 방식으로 작동합니다. RaaS 운영자라고도 불리는 랜섬웨어 개발자는 랜섬웨어 툴과 인프라를 개발하고 유지 관리하는 작업을 맡습니다. 이들은 툴과 서비스를 RaaS 계열사라고 하는 다른 해커에게 판매하는 RaaS 키트로 제공합니다. 

대부분의 사업자는 다음 수익 모델 중 하나를 사용하여 키트를 판매합니다:

• 월간 구독: RaaS 제휴사는 랜섬웨어 툴에 액세스하기 위해 한 달에 최소 40달러의 정기 요금을 지불합니다.
  
  
• 일회성 수수료: 제휴사는 랜섬웨어 코드를 직접 구매하기 위해 일회성 수수료를 지불합니다.
  
  
• 제휴 모델: 제휴사는 월별 수수료를 지불하고 받은 몸값의 일정 비율을 운영자와 공유합니다.
  
  
• 수익 공유: 운영자는 선불로 아무것도 청구하지 않지만 제휴사가 받는 모든 몸값의 상당 부분(보통 30~40%)을 가져갑니다. 

RaaS 키트는 다크 웹 포럼‌에 광고되며 일부 랜섬웨어 운영자는 새로운 계열사를 적극적으로 모집합니다. 예를 들어 REvil 그룹은 2020년 10월에 주요 채용 캠페인의 일환으로 100만 달러를 지출했습니다(링크는 ibm.com 외부에 있음).

키트를 구매하면 제휴사는 멀웨어 및 암호 해독 키뿐만 아니라 합법적인 SaaS 공급업체와 동등한 수준의 서비스와 지원을 받는 경우가 많습니다. 가장 정교한 RaaS 운영자 중 일부는 지속적인 기술 지원, 해커들이 팁과 정보를 교환할 수 있는 비공개 포럼 액세스, 결제 처리 포털(대부분의 몸값 지불은 비트코인과 같이 추적할 수 없는 암호화폐로 요청되므로), 맞춤형 몸값 메모 작성 또는 몸값 요구 협상을 위한 툴 및 지원 등의 편의 서비스를 제공합니다.

수익 잠재력이 RaaS 확산의 주요 요인이지만, 제휴 프로그램은 해커와 랜섬웨어 개발자에게도 추가적인 이점을 제공하며 사이버 보안 전문가에게는 추가적인 과제를 안겨줍니다. 

랜섬웨어 인시던트의 퍼지 속성. RaaS 모델에서 사이버 공격을 수행하는 사람들은 사용 중인 멀웨어를 개발한 사람과 동일하지 않을 수 있습니다. 또한, 서로 다른 해킹 그룹이 동일한 랜섬웨어를 사용하고 있을 수도 있습니다. 사이버 보안 전문가는 공격을 실행하는 특정 그룹을 정확히 파악하지 못할 수 있으므로 RaaS 운영자 및 계열사를 프로파일링하고 잡기가 더 어려워졌습니다. 

사이버 범죄자의 전문화. 합법적인 경제와 마찬가지로 사이버 범죄 경제는 분업으로 이어졌습니다. 위협 행위자는 이제 자신의 기술을 전문화하고 개선할 수 있습니다. 개발자는 점점 더 강력한 맬웨어를 만드는 데 집중할 수 있고 계열사는 보다 효과적인 공격 방법을 개발하는 데 집중할 수 있습니다. '액세스 브로커'라고 하는 세 번째 유형의 사이버 범죄자는 네트워크에 침투하여 공격자에게 액세스 포인트를 판매하는 것을 전문으로 합니다. 전문화를 통해 해커는 더 빠르게 움직이고 더 많은 공격을 수행할 수 있습니다. X-Force 위협 인텔리전스 인덱스에 따르면 랜섬웨어 공격 실행에 걸리는 평균 시간은 2019년 당시 60일 이상에서 2022년에는 3.85일로 감소했습니다. 

랜섬웨어 위협에 복원력 강화. RaaS를 사용하면 운영자와 제휴사가 위험을 공유하여 각자의 복원력을 높일 수 있습니다. 계열사가 적발된다고 해서 운영자가 운영을 멈추는 것은 아니며, 운영자가 적발되더라도 계열사는 다른 랜섬웨어 키트로 전환할 수 있습니다. 또한 해커는 당국을 회피하기 위해 자신의 활동을 재구성하고 브랜드를 변경하는 것으로 알려져 있습니다. 한 사례로, 미국 해외자산통제국(OFAC)이 Evil Corp 랜섬웨어 조직을 제재한 후 피해자들은 OFAC의 처벌을 피하기 위해 몸값 지불을 중단했습니다. 이에 대응하여 Evil Corp는 계속해서 지불금을 지급하기 위해 랜섬웨어의 이름을 여러 번 변경했습니다(ibm.com 외부 링크). 

어떤 조직이 어떤 랜섬웨어를 배후에 두고 있는지 또는 특정 시점에 어떤 운영자가 공식적으로 활동하는지 정확히 파악하기 어려울 수 있습니다. 그렇긴 하지만 사이버 보안 전문가들은 수년 동안 다음과 같은 몇 가지 주요 RaaS 운영자를 찾아냈습니다.

• Tox: 2015년에 처음 찾은 Tox는 많은 사람들이 최초의 RaaS로 인식하고 있습니다.

• LockBit: LockBit은 오늘날 가장 널리 퍼져 있는 RaaS 변종 중 하나로, 2022년에 관찰된 랜섬웨어 인시던트의 17%를 차지하며 다른 어떤 변종보다 많은 비율을 차지합니다. LockBit은 피싱 이메일을 통해 확산되는 경우가 많습니다. 특히 LockBit의 배후 갱단은 표적 피해자를 위해 일하는 계열사를 모집하여 침투를 더 쉽게 만들려고 노력했습니다. 

• DarkSide: DarkSide의 랜섬웨어 변종은 2021년 미국 Colonial Pipeline 사이버 공격에 사용되었으며, 이는 현재까지 미국의 주요 인프라에 대한 최악의 사이버 공격으로 꼽힙니다. DarkSide는 2021년에 종료되었지만 개발자는 BlackMatter라는 후속 RaaS 키트를 출시했습니다.

• REvil/Sodinokibi: Sodin 또는 Sodinokibi라고도 알려진 REvil은 2021년 JBS USA와 카세야 리미티드에 대한 공격의 배후에 있는 랜섬웨어를 제작했습니다. 전성기 시절, REvil은 2021년 랜섬웨어 공격의 37%를 차지하며 가장 널리 퍼진 랜섬웨어 변종 중 하나였습니다. 러시아 연방 보안국(Federal Security Service)은 2022년 초에 REvil을 폐쇄하고 여러 주요 구성원을 기소했지만 갱단의 RaaS 인프라는 2022년 4월에 다시 등장했습니다(링크는 ibm.com 외부에 있음)

• Ryuk: 2021년에 폐쇄되기 전까지 Ryuk은 가장 큰 RaaS 운영업체 중 하나였습니다. Ryuk의 개발자들은 2022년 코스타리카 정부를 대상으로 한 공격에 사용된 또 다른 주요 RaaS 변종인 Conti를 출시했습니다(ibm.com 외부 링크).

• Hive: 하이브: 하이브는 2022년 마이크로소프트 익스체인지 서버에 대한 공격으로 유명해졌습니다. 하이브 계열사는 2023년 FBI가 운영자를 체포하기 전까지 금융 회사 및 의료 기관에 심각한 위협이었습니다(링크는 ibm.com 외부에 있음). 

RaaS가 위협 환경을 변화시켰지만, 랜섬웨어 보호를 위한 많은 표준 관행은 여전히 RaaS 공격에 효과적으로 대응할 수 있습니다. 많은 RaaS 계열사는 어제의 랜섬웨어 공격자보다 기술적으로 덜 능숙합니다. 해커와 네트워크 자산 사이에 충분한 장애물을 배치하면 일부 RaaS 공격을 완전히 막을 수 있습니다. 추가 사이버 보안 전술에는 다음이 포함될 수 있습니다: 

• 민감한 데이터와 시스템 이미지의 백업은 네트워크에서 분리할 수 있는 하드 드라이브나 기타 장치에 보관하는 것이 이상적입니다.
  
  
• 정기적으로 패치를적용하여 자주 악용되는 취약점을해결함으로써 네트워크 공격 표면을 줄입니다 .  안티바이러스 소프트웨어, 보안 오케스트레이션, 자동화 및 대응(SOAR), 엔드포인트 탐지 및 대응(EDR), 보안 정보 및 이벤트 관리(SIEM), 확장 탐지 및 대응(XDR) 등의 보안 툴도 보안 팀이 랜섬웨어를 더 빠르게 차단하는 데 도움이 될 수 있습니다.
  
  
• 사이버 보안 교육은 직원들이 피싱, 소셜 엔지니어링, 악성 링크와 같은 일반적인 랜섬웨어 벡터를 인식하고 피하는 데 도움이 될 수 있습니다.
  
  
• 다단계 인증 ,제로 트러스트 아키텍처, 네트워크 세분화와 같은 액세스 제어를 구현하면 랜섬웨어가 특히 민감한 데이터에 접근하는 것을 방지할 수 있습니다.
  
  
• 포괄적인 사고 대응 계획은 보안팀이 대부분의 사이버 위협에 대처하는 데 도움이 될 수 있지만, 특히 RaaS 공격에 유용할 수 있습니다. 공격 속성이 모호할 수 있기 때문에 인시던트 대응 팀은 랜섬웨어 공격이 항상 동일한 전술, 기술 및 절차(TTP)를 사용할 것이라 기대하면 안 됩니다. 또한 인시던트 대응자가 RaaS 계열사를 쫓아내더라도 액세스 브로커는 네트워크에서 계속 활성 상태일 수 있습니다. 선제적인 위협 헌팅과 철저한 사고 조사를 통해 보안팀은 이러한 회피형 위협을 근절할 수 있습니다.