勒索軟體即服務(RaaS)是什麼?這個模型是如何工作的?

Ransomware as a Service是一個英語術語,指的是一種商業模型，其中勒索軟體開發者向感興趣的惡意行為者提供工具，以便他們可以發起勒索軟體攻擊。使用者透過簽約建立惡意軟體即服務或加入聯盟計劃，並分發一系列勒索軟體以換取一定比例的利潤。 這種圍繞勒索軟體的商業模式並不是新的，也不是這種型別的網路威脅獨有的，還有惡意軟體即服務。但在過去兩年中，RaaS已經發展壯大，目前有許多勒索軟體組織在這種條件下執行。

究竟什麼是勒索軟體即服務或RaaS?

該服務由開發此類惡意程式碼的網路犯罪集團提供的，並在他們尋求招募附屬機構的秘密論壇中提供，這些附屬機構是簽約該服務的人。

這是兩個部分：勒索軟體的建立者和負責分發威脅的附屬機構或服務承包商。

附屬機構可以訪問強大且開發良好的基礎設施，其中包含旨在繞過防禦的惡意程式碼，不需要程式設計或構建自己的東西。同樣，獲得該服務的人可以訪問控制皮膚，設定將向每個受害者索取贖金的金額。

一些勒索軟體組織，如REvil，在2021年的一次採訪中透露，他們有60個附屬成員分發這種勒索軟體，這解釋了REvil在2020年至2021年期間的受歡迎程度，它是全球最活躍的組織之一。獨立傳播威脅的分支機構越多，攻擊的數量就越多。

這個概念與租用雲服務非常相似，你只需支付月費就可以訪問該結構提供的所有服務。

使用該框架的費用以及提供給附屬機構的功能取決於所僱用的網路犯罪分子群體。下面列出這些犯罪分子提供的一些功能，但需要注意的是，這些專案不一定與特定群體的報價有關聯性。

-準備分發的惡意軟體，逃避檢測，並且具有用於執行的混淆技術;

-透過支付贖金獲得的資金分配：這裡可能有不同的方式。在某些情況下，附屬機構收取的金額的百分比可能從50%到70%，甚至高達總金額，因為在某些情況下，網路罪犯只對建立惡意軟體和使用的結構收費。

-目前最常見的模式是受害者支付一定比例的贖金;

-透過命令和控制伺服器(C&C)完成攻擊的全面編排;

-在加密之前，有可能從受害者的環境中竊取敏感資訊，用於未來的勒索；

- 幫助獲得新目標以發動攻擊。

最近觀察到，勒索軟體家族的數量增加了很多，而對威脅本身的檢測卻減少了。

這意味著惡意軟體家族在攻擊中變得更加自信，經常利用未修補的漏洞來獲得對環境的初始訪問。

我們認為勒索軟體是一種商業服務模式，其主要目標之一就是“武裝”那些想要破壞特定網路結構但知識匱乏的人。雖然勒索軟體攻擊對組織來說可能是災難性的，但更讓人擔憂的是，被僱傭實施破壞服務的人很有可能是目標公司的內部人員或者商業競爭對手。例如Lockbit 2.0勒索軟體，在暗網網站上，它邀請那些可以訪問公司網路和組織內部資訊的人加入它們。

如果犯罪組織的附屬公司是員工或服務提供商，這可能是最糟糕的情況之一，因為公司通常保護周邊，“忘記”保護內部裝置，這使得惡意軟體毫無困難地感染環境並開始傳播。因此關注組織內部的軟體安全，及時檢測發現安全漏洞有助於提高內部裝置安全性。

犯罪分子如何設法僱用勒索軟體服務

如果你對暗網的訪問有一點了解，或者一些相關的網站，那麼找到RaaS的交易可能只需要很短的時間。

因此，RaaS很可能對全球安全格局產生的影響越來越大，企業應該將這一威脅視為高風險和高可能性，並採取措施防止被勒索軟體感染。

防範此類威脅的做法包括：

應用最小特權原則：儘量將網路內所有使用者的特許可權制到最大。

不但要專注外部防範，要專注整體：當涉及安全時，儘可能全面關注。保護好網路環境中的計算機和軟體，而不僅是網路邊界。

審查和控制流程：這適用於訪問許可權、使用者、組、流程和環境中的任何其他內容。對特權、組、休假/外出/與公司斷開連線的使用者以及所有其他方面進行定期審查其環境。

讓企業安全環境不斷髮展：防病毒、防火牆和資訊備份已經成為基本操作。更嚴謹的情況是檢測環境中的軟體安全，這種安全檢測在開發生命週期中即可透過 靜態程式碼分析、動態分析等進行，以發現並修復安全漏洞。此外，在已有的安全解決方案基礎上，逐步增強安全措施。

幫助員工瞭解資訊保安：諸如定期發起活動以解決識別網路釣魚的方法、犯罪分子接近受害者的方式、公司內外環境的安全可以有效減少安全事件發生的機率。

文章來源：

https://www.welivesecurity.com/la-es/2022/02/23/ransomware-as-a-service-raas-que-es-como-funciona/