勒索软件即服务 (Raas) 是一种特殊类型恶意软件的特定分发模式,对网络安全构成了重大威胁。凭借这种联盟型方案,更多的潜在网络犯罪分子即使不具备必要的技术和编程专业知识,也能有机会发动攻击,从而导致勒索软件攻击更加猖獗。
鉴于勒索软件的巨大破坏性,企业尤其有必要了解 RaaS 对网络安全的影响,以及保护系统免受勒索软件攻击的重要性。
了解勒索软件即服务
勒索软件即服务 (RaaS) 是一种专长于特殊类型恶意软件(勒索软件)并在暗网上运营的业务模式。按最简单的说法,它就像是较为传统的合法软件即服务 (SaaS) 模式的恶意进化,而包括微软、Adobe、Shopify、Zoom 和 Dropbox 在内的许多大公司都在使用这种合法模式。在 RaaS 业务模式中,运营商制作勒索软件(通常是围绕勒索软件的整个生态系统)并将其提供给第三方。网络犯罪分子可以免费“订阅”勒索软件即服务 (RaaS)。一旦他们成为该计划的合作伙伴,就可以在攻击发生后按赎金的一定比例支付服务费用。
网络攻击者如果想实施勒索软件攻击,但没有时间和能力开发自己的恶意软件,那么只需在暗网上选择一个 RaaS 解决方案。他们可以访问勒索软件和所有必要的组件,如命令与控制 (C2) 面板、生成器(用于快速创建独特恶意软件样本的程序)、恶意软件和接口升级、支持、说明和托管。然后,他们无需完成所有的开发工作,就可以发动攻击了。因此,恶意行为者不需要具备任何开发此类恶意软件的知识或经验,就能执行复杂的勒索软件攻击链。
通常情况下,提供勒索软件即服务的运营商会围绕其恶意软件开发一整套产品。这可能包括社区论坛、战略攻击战术手册和客户支持等广泛的服务。这对缺乏网络攻击经验的潜在攻击者尤其有用。额外的 RaaS 服务可能包括:
- 定制工具,用于创建高度针对性的攻击
- 附加工具,如数据外泄程序
- 社区论坛,用于提供建议和讨论
- 战略攻击战术手册
- 面板和产品的安装设置说明
- 攻击手册,其中包括面向攻击者的工具、战术和技术说明。
无论攻击者选择使用哪种类型的勒索软件即服务,其最终目的都是一样的:入侵个人或组织的网络,窃取或解密数据,然后让受害者支付赎金。
恶意软件、勒索软件和勒索软件即服务之间的区别
恶意软件是用于在未经授权情况下访问 IT 系统或电子设备的任何类型恶意软件的总称。其目的多种多样,例如窃取数据和破坏系统等。然而,勒索软件是一种用于感染目标系统并加密或破坏其数据的恶意软件;攻击者可能要求目标支付赎金(这也是名称中“勒索”的由来),否则就公开发布信息;或者在数据被加密的情况下,通过支付赎金获得解密密钥来恢复数据。
勒索软件即服务 (Raas) 有哪些法律影响?
鉴于 RaaS 能实现一种特定类型的网络犯罪,而且是在暗网上运营,因此整个业务模式显然都是非法的。任何形式的行业参与都是非法的,无论是作为运营商还是附属成员(“订阅用户”)。这些参与行为包括:出售 RaaS、购买 RaaS 以实施勒索软件攻击、入侵网络、加密数据或勒索赎金。
勒索软件即服务是如何运作的?
RaaS 按组织层级结构运作。位于结构顶端的是运营商,通常是开发并出售勒索软件的团体。运营商基本上充当管理员的角色,监督 RaaS 业务运营的方方面面,包括管理基础设施和用户界面。通常情况下,运营商还会处理赎金支付事宜,并向支付赎金的受害者提供解密密钥。在运营商团体内部,可能还有更细化的指定角色,包括管理员、开发人员和测试团队。
RaaS 的附属成员(即所谓的“客户”)购买 RaaS 访问权限,以便在攻击中使用运营商的勒索软件。他们发现攻击机会并进行部署。附属成员的作用是确定目标、执行勒索软件、设定赎金、管理攻击后的沟通,并在赎金付清后发送解密密钥。
卡巴斯基在最近发布的“2023 年反勒索软件日”调查报告中,揭示了 2022 年勒索软件攻击的主要初始载体。报告显示,去年超过 40% 的公司至少遭受过一次勒索软件攻击,其中的中小型企业平均支付的恢复费用为 6,500 美元,而大企业则高达 98,000 美元。该研究指出了主要的攻击切入点,包括利用面向公众的应用程序 (43%)、被入侵的用户账户 (24%) 和恶意电子邮件 (12%)。
勒索软件一旦被下载到系统上,就会试图禁用端点安全软件,攻击者一旦获得访问权限,就可以重新安装工具和恶意软件。这样他们就能够在网络中来去自如,然后部署勒索软件。对文件执行加密后,他们就会发送勒索信。一般来说,他们会在受害者的计算机上显示一个 TXT 文件,告诉受害者系统已被入侵,必须支付赎金才能获得解密密钥来重获控制权。
勒索软件即服务是如何盈利的?
网络犯罪分子可以免费“订阅”勒索软件即服务 (RaaS)。他们一旦成为该计划的合作伙伴,就可以在攻击发生后支付服务费用。服务费用取决于受害者支付的赎金百分比,通常为每笔交易的 10% 到 40%。然而,要加入此类计划并非易事,必须满足严格的要求。
需要了解的勒索软件即服务示例
网络犯罪分子善于不断改进其勒索软件服务,以便始终满足 RaaS 买家“客户”的需求。暗网上有各种各样的勒索软件即服务 (Raas) 程序,了解这些程序的概况有助于理解它们如何以及为什么会构成威胁。以下是近年来广泛传播的几个勒索软件即服务示例。
- LockBit:这种特殊的勒索软件利用服务器消息块 (SMB) 和微软的 PowerShell 自动化和配置管理程序,入侵了许多组织的网络。
- BlackCat:该勒索软件使用 Rust 编程,易于定制,因此可针对多种系统架构进行部署。
- Hive:Hive 是一种危害性极大的 RaaS,会公开发布系统漏洞的详细信息,并经常倒计时被盗信息的泄露时间,以此对目标施加巨大的压力,迫使其支付赎金。
- Dharma:电子邮件是实施网络钓鱼攻击最常见的方法,这种 RaaS 已造成数百起攻击事件,通过电子邮件附件对受害者发起类似于网络钓鱼的攻击。
- DarkSide:该勒索软件集团的恶意软件被认为是 2021 年 Colonial Pipeline 攻击事件的罪魁祸首。
- REvil:可能是普及性最高的 RaaS 团体,2021 年对 Kaseya(影响约 1,500 家组织)和 CAN Financial 的攻击就是该勒索软件所为。
保护设备免受勒索软件侵害的 10 个技巧
人们在上网时必须警惕众多的威胁,勒索软件只是其中之一,而要从勒索软件的攻击下恢复,不仅难度颇高,而且代价高昂。这些威胁虽然不可能完全消除,但有大量的措施和最佳实践可以增强网络安全,防范 RaaS,并切实地缓解许多数字化攻击。以下是保护电子设备免受勒索软件侵害的 10 个技巧:
- 定期在单独的设备上备份数据,必要时创建多个备份;组织还应制定数据恢复计划,以防受到攻击。
- 使用强大的端点保护软件,定期扫描和清除潜在威胁。
- 确保所有软件都为最新,且运行最新的安全补丁。
- 尽可能启用多重或生物识别身份验证。
- 牢记密码卫生 - 使用可靠的密码管理器生成并存储高强度密码,并为不同账户创建不同的登录信息。
- 使用强大的电子邮件扫描软件,发现恶意电子邮件和潜在的网络钓鱼攻击。
- 制定并维护完善的网络安全政策:关注外围,制定覆盖整个组织范围的全面网络安全政策。该政策应涉及针对远程访问、第三方供应商和员工的安全协议。
- 由于被盗的凭据可能会在暗网上出售,应使用卡巴斯基数字足迹情报监控影子资源,并及时发现相关威胁。
- 使用“最小特权”原则,尽可能减少拥有管理权限或系统访问权限的人数。
- 开展关于 RaaS 网络安全和其他潜在威胁的安全意识培训。
- 避免点击电子邮件链接,除非来源是已知且可信的。只要有疑问,就在浏览器的搜索栏中输入网址,然后手动导航到相应页面。
当然,即使是最严密的保护措施也未必能防止勒索软件攻击。不过,当最坏的情况发生时,仍有一些选择可以减轻这些攻击的后果。
勒索软件即服务的持久威胁
勒索软件本身就是一个网络安全问题。而有了勒索软件即服务的业务模式,更多潜在的网络犯罪分子即使不具备任何特殊专业技术或知识,也有能力发动这些攻击,导致这种特殊的恶意软件变成了一种更大的威胁。由于这些攻击会给目标组织或个人造成严重的经济损失,因此必须了解多种方法来保护系统免受勒索软件攻击。其中许多方法都是基本的网络安全最佳实践,但组织可能需要考虑采取进一步的措施,例如开展安全培训以及在分散的系统上定期备份。
获取卡巴斯基优选版 + 1 年免费的 Kaspersky Safe Kids。卡巴斯基优选版荣获 AV-TEST 的最佳保护、最佳性能、最快 VPN、获认可的 Windows 家长控制和 Android 家长控制最佳评分等五个奖项。
相关的文章和链接:
恶意软件检测和预防
相关产品和服务:
卡巴斯基标准版
卡巴斯基优选版