勒索软件并不是互联网上的全新威胁。 它的根源可以追溯到很多年前。 随着时间的推移,这种威胁只会变得更加危险和无情。
近年来,由于网络攻击的轰炸导致许多企业无法使用,“勒索软件”一词已获得广泛认可。
您PC上的所有文件都已下载并加密,然后您的屏幕变黑并出现一条英语蹩脚的消息。
Y您必须使用比特币或其他无法追踪的加密货币向黑帽网络犯罪分子支付赎金,以获取解密密钥或防止您的敏感数据在暗网上发布。
但很少有人知道勒索软件即服务,这是一种组织良好的黑社会商业模式,可以执行这些类型的攻击(或 RaaS)。
勒索软件创建者不是自己进行攻击,而是将其昂贵的病毒出租给经验不足的网络犯罪分子,这些犯罪分子准备承担与进行勒索软件操作相关的风险。
这一切是如何运作的? 谁领导等级制度,谁充当中间人? 也许更重要的是,您如何保护您的业务和您自己免受这些严重的攻击?
继续阅读以了解有关 RaaS 的更多信息。
什么是勒索软件即服务 (RaaS)?
勒索软件即服务 (RaaS) 是一种犯罪企业商业模式,允许任何人加入并利用工具发起勒索软件攻击。
RaaS 用户,就像那些使用软件即服务 (SaaS) 或平台即服务 (PaaS) 等其他即服务模型的用户一样,租用而不是拥有勒索软件服务。
它是一种低代码、软件即服务的攻击媒介,使犯罪分子能够在暗网上购买勒索软件,并在不知道如何编码的情况下进行勒索软件攻击。
电子邮件网络钓鱼方案是 RaaS 漏洞的常见攻击媒介。
当受害者单击攻击者电子邮件中的恶意链接时,勒索软件会下载并在受影响的机器上传播,从而禁用防火墙和防病毒软件。
一旦受害者的外围防御被破坏,RaaS 软件就可以寻找提升权限的方法,并最终通过将文件加密到无法访问的程度来劫持整个组织。
一旦受害者被告知攻击,该程序将向他们提供有关如何支付赎金的说明,并(理想情况下)获得正确的加密密钥进行解密。
尽管 RaaS 和勒索软件漏洞是非法的,但实施此类攻击的犯罪分子尤其难以逮捕,因为他们利用 Tor 浏览器(也称为洋葱路由器)访问受害者并要求支付比特币赎金。
FBI 声称,越来越多的恶意软件创建者正在传播其有害的 LCNC(低代码/无代码)程序,以换取勒索收益的一部分。
RaaS 模型如何运作?
开发人员和附属机构合作实施有效的 RaaS 攻击。 开发人员负责编写专门的勒索软件恶意软件,然后将其出售给附属公司。
勒索软件代码和发起攻击的说明由开发人员提供。 RaaS 使用简单,几乎不需要技术知识。
任何有权访问暗网的人都可以进入门户,以会员身份加入,并通过单击发起攻击。 附属公司选择他们想要分发的病毒类型,并使用加密货币(通常是比特币)进行支付以开始使用。
当支付赎金并且攻击成功时,开发者和附属公司将分配收益。 收入模式的类型决定了资金的分配方式。
让我们来看看其中一些非法的商业策略。
附属 RaaS
由于多种因素,包括勒索软件集团的品牌知名度、活动的成功率以及所提供服务的质量和多样性,地下联盟计划已成为最知名的 RaaS 形式之一。
犯罪组织经常寻找可以自行进入商业网络的黑客,以便在团伙中维护他们的勒索软件代码。 然后,他们利用病毒和协助发动袭击。
然而,鉴于最近在暗网上出售企业网络访问权限的兴起,黑客甚至可能不需要这个来满足这些标准。
得到良好支持、经验不足的黑客发起高风险攻击以换取利润份额,而不是每月或每年支付使用勒索软件代码的费用(但有时附属公司可能需要付费才能玩)。
大多数时候,勒索软件团伙会寻找足够熟练的黑客来闯入公司网络并勇敢地进行攻击。
在这个系统中,会员通常会收到 60% 到 70% 的赎金,剩下的 30% 到 40% 会发送给 RaaS 运营商。
基于订阅的 RaaS
在这种策略中,诈骗者定期支付会员费以获得勒索软件、技术支持和病毒更新。 许多基于 Web 的订阅服务模型,例如 Netflix、Spotify 或 Microsoft Office 365,都可以与此相媲美。
通常情况下,如果他们预先支付服务费用,勒索软件犯罪者会为自己保留 100% 的赎金收入,这取决于 RaaS 供应商,每个月可能要花费 50 到数百美元。
与通常的约 220,000 美元的赎金支付相比,这些会员费是一笔适度的投资。 当然,联盟计划也可以将付费播放、基于订阅的元素纳入他们的计划中。
终身许可证
恶意软件生产者可以决定提供一次性付款的软件包,避免冒险直接参与网络攻击,而不是通过订阅和利润分享来赚取经常性收入。
在这种情况下,网络犯罪分子需要支付一次性费用才能终生访问勒索软件工具包,他们可以使用任何他们认为合适的方式使用该工具包。
一些较低级别的网络犯罪分子可能会选择一次性购买,即使它的价格要高得多(复杂的套件需要数万美元),因为如果运营商被逮捕,他们将更难以连接到 RaaS 运营商。
RaaS 合作伙伴关系
使用勒索软件的网络攻击需要每个涉及的黑客都拥有一套独特的能力。
在这种情况下,一个小组会聚在一起并为操作提供各种贡献。 勒索软件代码开发人员、企业网络黑客和讲英语的勒索谈判人员需要开始。
根据他们在活动中的角色和重要性,每个参与者或合作伙伴都会同意分配收入。
如何检测 RaaS 攻击?
通常,没有 100% 有效的勒索软件攻击保护。 但是,网络钓鱼电子邮件仍然是用于进行勒索软件攻击的主要方法。
因此,公司必须提供网络钓鱼意识培训,以确保员工对如何发现网络钓鱼电子邮件有最好的了解。
在技术层面上,企业可能有一个专门的网络安全团队负责进行威胁追踪。 威胁搜寻是一种非常成功的检测和预防勒索软件攻击的方法。
在此过程中使用有关攻击媒介的信息创建了一个理论。 直觉和数据有助于创建一个程序,该程序可以快速识别攻击的原因并阻止它。
为了密切关注网络上的意外文件执行、可疑行为等,使用了威胁搜寻工具。 为了识别未遂的勒索软件攻击,他们使用了 Watch for Indicators of Compromise (IOC)。
此外,还使用了许多情境威胁搜寻模型,每个模型都是针对目标组织的行业量身定制的。
RaaS 的例子
勒索软件的作者刚刚意识到建立 RaaS 业务是多么有利可图。 此外,已经有几个威胁参与者组织建立了 RaaS 操作,以在几乎所有企业中传播勒索软件。 以下是一些 RaaS 组织:
- 阴暗面:它是最臭名昭著的 RaaS 提供商之一。 据报道,该团伙是 2021 年 2020 月对殖民管道的袭击的幕后黑手。据信,DarkSide 于 2021 年 XNUMX 月开始,并在 XNUMX 年头几个月达到顶峰。
- 法:Dharma Ransomware 最初于 2016 年以 CrySis 的名义出现。 尽管多年来出现了多种 Dharma 勒索软件变体,但 Dharma 于 2020 年首次以 RaaS 格式出现。
- 迷宫:与许多其他 RaaS 提供商一样,Maze 于 2019 年首次亮相。除了加密用户数据外,RaaS 组织还威胁要公开发布数据以羞辱受害者。 Maze RaaS 于 2020 年 XNUMX 月正式关闭,尽管其原因仍然有些模糊。 然而,一些学者认为,同样的罪犯以不同的名义继续存在,比如 Egregor。
- DoppelPaymer:它与许多事件有关,其中包括 2020 年针对德国一家医院的事件,该医院夺走了一名患者的生命。
- Ryuk:尽管 RaaS 在 2019 年更加活跃,但据信它至少在 2017 年就已经存在。包括 CrowdStrike 和 FireEye 在内的许多安全公司否认了某些研究人员声称该组织位于朝鲜的说法。
- 锁位:作为文件扩展名,该组织用于加密受害者文件的“.abcd 病毒”于 2019 年 XNUMX 月首次出现。LockBit 在目标网络上自主传播的能力是其功能之一。 对于潜在的攻击者来说,这使其成为理想的 RaaS。
- 魔鬼:虽然有几家 RaaS 提供商,但在 2021 年是最常见的。发生在 2021 年 1,500 月并影响至少 2021 家公司的 Kaseya 袭击与 REvil RaaS 有关。 该组织还被认为是 11 年 2021 月对肉类制造商 JBS USA 的袭击的幕后黑手,受害者为此支付了 XNUMX 万美元的赎金。 它还被发现对 XNUMX 年 XNUMX 月对网络保险提供商 CNA Financial 的勒索软件攻击负责。
如何防范 RaaS 攻击?
RaaS 黑客最常使用复杂的鱼叉式网络钓鱼电子邮件来分发恶意软件,这些电子邮件经过专业设计,看起来真实可信。 需要一种可靠的风险管理方法来支持对最终用户进行持续的安全意识培训,以防止 RaaS 攻击。
第一个也是最好的保护措施是创建一种商业文化,让最终用户了解最新的网络钓鱼技术以及勒索软件攻击对其财务和声誉造成的危害。 这方面的举措包括:
- 软件升级: 操作系统和应用程序经常被勒索软件利用。 为了帮助阻止勒索软件攻击,在发布补丁和更新时更新软件非常重要。
- 小心备份和恢复您的数据:建立数据备份和恢复策略是第一步,也可能是最重要的一步。 被勒索软件加密后,用户无法使用数据。 如果公司拥有可用于恢复过程的当前备份,则可以减轻攻击者对数据加密的影响。
- 防止网络钓鱼: 通过电子邮件进行网络钓鱼是勒索软件的典型攻击方法。 如果有某种反钓鱼电子邮件保护措施,就可以防止 RaaS 攻击。
- 多重身份验证:一些勒索软件攻击者利用凭证填充,其中涉及使用从一个站点窃取的密码到另一个站点。 因为仍然需要第二个因素才能获得访问权限,所以多因素身份验证减少了过度使用的单个密码的影响。
- XDR 端点的安全性:端点安全和威胁搜寻技术(如 XDR)提供了额外的关键防御层来抵御勒索软件。 这提供了增强的检测和响应能力,有助于降低勒索软件的危险。
- DNS 限制:勒索软件经常使用某种命令和控制 (C2) 服务器与 RaaS 运营商的平台进行交互。 DNS 查询几乎总是涉及从受感染机器到 C2 服务器的通信。 组织可以识别勒索软件何时试图与 RaaS C2 交互,并借助 DNS 过滤安全解决方案阻止通信。 这可以作为一种感染预防。
RaaS 的未来
未来,RaaS 攻击将在黑客中变得更加普遍和受欢迎。 根据最近的一份报告,在过去 60 个月中,超过 18% 的网络攻击是基于 RaaS 的。
RaaS 变得越来越流行,因为它使用起来非常简单,而且不需要任何技术知识。 此外,我们应该为针对重要基础设施的 RaaS 攻击做好准备。
这涵盖了医疗保健、管理、运输和能源领域。 黑客认为这些关键行业和机构比以往任何时候都更加暴露,将医院和发电厂等实体置于 RaaS 攻击的视线范围内 供应链 问题一直持续到 2022 年。
结论
总而言之,即使勒索软件即服务 (RaaS) 是一种创造,并且是最近对数字用户造成威胁的危险之一,采取某些预防措施来对抗这种威胁也至关重要。
除了其他基本的安全预防措施外,您还可以依靠尖端的反恶意软件工具来进一步保护您免受这种威胁。 遗憾的是,RaaS 似乎会暂时留在这里。
您需要一个全面的技术和网络安全计划来抵御 RaaS 攻击,从而降低 RaaS 攻击成功的可能性。
发表评论