勒索軟件並不是互聯網上的全新威脅。 它的根源可以追溯到很多年前。 隨著時間的推移,這種威脅只會變得更加危險和無情。
近年來,由於網絡攻擊的轟炸導致許多企業無法使用,“勒索軟件”一詞已獲得廣泛認可。
您PC上的所有文件都已下載並加密,然後您的屏幕變黑並出現一條英語蹩腳的消息。
Y您必須使用比特幣或其他無法追踪的加密貨幣向黑帽網絡犯罪分子支付贖金,以獲取解密密鑰或防止您的敏感數據在暗網上發布。
但很少有人知道勒索軟件即服務,這是一種組織良好的黑社會商業模式,可以執行這些類型的攻擊(或 RaaS)。
勒索軟件創建者不是自己進行攻擊,而是將其昂貴的病毒出租給經驗不足的網絡犯罪分子,這些犯罪分子準備承擔與進行勒索軟件操作相關的風險。
這一切是如何運作的? 誰領導等級制度,誰充當中間人? 也許更重要的是,您如何保護您的業務和您自己免受這些嚴重的攻擊?
繼續閱讀以了解有關 RaaS 的更多信息。
什麼是勒索軟件即服務 (RaaS)?
勒索軟件即服務 (RaaS) 是一種犯罪企業商業模式,允許任何人加入並利用工具發起勒索軟件攻擊。
RaaS 用戶,就像那些使用軟件即服務 (SaaS) 或平台即服務 (PaaS) 等其他即服務模型的用戶一樣,租用而不是擁有勒索軟件服務。
它是一種低代碼、軟件即服務的攻擊媒介,使犯罪分子能夠在暗網上購買勒索軟件,並在不知道如何編碼的情況下進行勒索軟件攻擊。
電子郵件網絡釣魚方案是 RaaS 漏洞的常見攻擊媒介。
當受害者單擊攻擊者電子郵件中的惡意鏈接時,勒索軟件會下載並在受影響的機器上傳播,從而禁用防火牆和防病毒軟件。
一旦受害者的外圍防禦被破壞,RaaS 軟件就可以尋找提升權限的方法,並最終通過將文件加密到無法訪問的程度來劫持整個組織。
一旦受害者被告知攻擊,該程序將向他們提供有關如何支付贖金的說明,並(理想情況下)獲得正確的加密密鑰進行解密。
儘管 RaaS 和勒索軟件漏洞是非法的,但實施此類攻擊的犯罪分子尤其難以逮捕,因為他們利用 Tor 瀏覽器(也稱為洋蔥路由器)訪問受害者並要求支付比特幣贖金。
FBI 聲稱,越來越多的惡意軟件創建者正在傳播其有害的 LCNC(低代碼/無代碼)程序,以換取勒索收益的一部分。
RaaS 模型如何運作?
開發人員和附屬機構合作實施有效的 RaaS 攻擊。 開發人員負責編寫專門的勒索軟件惡意軟件,然後將其出售給附屬公司。
勒索軟件代碼和發起攻擊的說明由開發人員提供。 RaaS 使用簡單,幾乎不需要技術知識。
任何有權訪問暗網的人都可以進入門戶,以會員身份加入,並通過單擊發起攻擊。 附屬公司選擇他們想要分發的病毒類型,並使用加密貨幣(通常是比特幣)進行支付以開始使用。
當支付贖金並且攻擊成功時,開發者和附屬公司將分配收益。 收入模式的類型決定了資金的分配方式。
讓我們來看看其中一些非法的商業策略。
附屬 RaaS
由於多種因素,包括勒索軟件集團的品牌知名度、活動的成功率以及所提供服務的質量和多樣性,地下聯盟計劃已成為最知名的 RaaS 形式之一。
犯罪組織經常尋找可以自行進入商業網絡的黑客,以便在團伙中維護他們的勒索軟件代碼。 然後,他們利用病毒和協助發動襲擊。
然而,鑑於最近在暗網上出售企業網絡訪問權限的興起,黑客甚至可能不需要這個來滿足這些標準。
得到良好支持、經驗不足的黑客發起高風險攻擊以換取利潤份額,而不是每月或每年支付使用勒索軟件代碼的費用(但有時附屬公司可能需要付費才能玩)。
大多數時候,勒索軟件團伙會尋找足夠熟練的黑客來闖入公司網絡並勇敢地進行攻擊。
在這個系統中,會員通常會收到 60% 到 70% 的贖金,剩下的 30% 到 40% 會發送給 RaaS 運營商。
基於訂閱的 RaaS
在這種策略中,詐騙者定期支付會員費以獲得勒索軟件、技術支持和病毒更新。 許多基於 Web 的訂閱服務模型,例如 Netflix、Spotify 或 Microsoft Office 365,都可以與此相媲美。
通常情況下,如果他們預先支付服務費用,勒索軟件犯罪者會為自己保留 100% 的贖金收入,這取決於 RaaS 供應商,每個月可能要花費 50 到數百美元。
與通常的約 220,000 美元的贖金支付相比,這些會員費是一筆適度的投資。 當然,聯盟計劃也可以將付費播放、基於訂閱的元素納入他們的計劃中。
終身許可證
惡意軟件生產者可以決定提供一次性付款的軟件包,避免冒險直接參與網絡攻擊,而不是通過訂閱和利潤分享來賺取經常性收入。
在這種情況下,網絡犯罪分子需要支付一次性費用才能終生訪問勒索軟件工具包,他們可以使用任何他們認為合適的方式使用該工具包。
一些較低級別的網絡犯罪分子可能會選擇一次性購買,即使它的價格要高得多(複雜的套件需要數万美元),因為如果運營商被逮捕,他們將更難以連接到 RaaS 運營商。
RaaS 合作夥伴關係
使用勒索軟件的網絡攻擊需要每個涉及的黑客都擁有一套獨特的能力。
在這種情況下,一個小組會聚在一起並為操作提供各種貢獻。 勒索軟件代碼開發人員、企業網絡黑客和講英語的勒索談判人員需要開始。
根據他們在活動中的角色和重要性,每個參與者或合作夥伴都會同意分配收入。
如何檢測 RaaS 攻擊?
通常,沒有 100% 有效的勒索軟件攻擊保護。 但是,網絡釣魚電子郵件仍然是用於進行勒索軟件攻擊的主要方法。
因此,公司必須提供網絡釣魚意識培訓,以確保員工對如何發現網絡釣魚電子郵件有最好的了解。
在技術層面上,企業可能有一個專門的網絡安全團隊負責進行威脅追踪。 威脅搜尋是一種非常成功的檢測和預防勒索軟件攻擊的方法。
在此過程中使用有關攻擊媒介的信息創建了一個理論。 直覺和數據有助於創建一個程序,該程序可以快速識別攻擊的原因並阻止它。
為了密切關注網絡上的意外文件執行、可疑行為等,使用了威脅搜尋工具。 為了識別未遂的勒索軟件攻擊,他們使用了 Watch for Indicators of Compromise (IOC)。
此外,還使用了許多情境威脅搜尋模型,每個模型都是針對目標組織的行業量身定制的。
RaaS 的例子
勒索軟件的作者剛剛意識到建立 RaaS 業務是多麼有利可圖。 此外,已經有幾個威脅參與者組織建立了 RaaS 操作,以在幾乎所有企業中傳播勒索軟件。 以下是一些 RaaS 組織:
- 暗面:它是最臭名昭著的 RaaS 提供商之一。 據報導,該團伙是 2021 年 2020 月對殖民管道的襲擊的幕後黑手。據信,DarkSide 於 2021 年 XNUMX 月開始,並在 XNUMX 年頭幾個月達到頂峰。
- 法:Dharma Ransomware 最初於 2016 年以 CrySis 的名義出現。 儘管多年來出現了多種 Dharma 勒索軟件變體,但 Dharma 於 2020 年首次以 RaaS 格式出現。
- 迷宮:與許多其他 RaaS 提供商一樣,Maze 於 2019 年首次亮相。除了加密用戶數據外,RaaS 組織還威脅要公開發布數據以羞辱受害者。 Maze RaaS 於 2020 年 XNUMX 月正式關閉,儘管其原因仍然有些模糊。 然而,一些學者認為,同樣的罪犯以不同的名義繼續存在,比如 Egregor。
- 多普爾付款人:它與許多事件有關,其中包括 2020 年針對德國一家醫院的事件,該醫院奪走了一名患者的生命。
- Ryuk:儘管 RaaS 在 2019 年更加活躍,但據信它至少在 2017 年就已經存在。包括 CrowdStrike 和 FireEye 在內的許多安全公司否認了某些研究人員聲稱該組織位於朝鮮的說法。
- 鎖位:作為文件擴展名,該組織用於加密受害者文件的“.abcd 病毒”於 2019 年 XNUMX 月首次出現。LockBit 在目標網絡上自主傳播的能力是其功能之一。 對於潛在的攻擊者來說,這使其成為理想的 RaaS。
- 魔鬼:雖然有幾家 RaaS 提供商,但在 2021 年是最常見的。發生在 2021 年 1,500 月並影響至少 2021 家公司的 Kaseya 襲擊與 REvil RaaS 有關。 該組織還被認為是 11 年 2021 月對肉類製造商 JBS USA 的襲擊的幕後黑手,受害者為此支付了 XNUMX 萬美元的贖金。 它還被發現對 XNUMX 年 XNUMX 月對網絡保險提供商 CNA Financial 的勒索軟件攻擊負責。
如何防範 RaaS 攻擊?
RaaS 黑客最常使用複雜的魚叉式網絡釣魚電子郵件來分發惡意軟件,這些電子郵件經過專業設計,看起來真實可信。 需要一種可靠的風險管理方法來支持對最終用戶進行持續的安全意識培訓,以防止 RaaS 攻擊。
第一個也是最好的保護措施是創建一種商業文化,讓最終用戶了解最新的網絡釣魚技術以及勒索軟件攻擊對其財務和聲譽造成的危害。 這方面的舉措包括:
- 軟件升級: 操作系統和應用程序經常被勒索軟件利用。 為了幫助阻止勒索軟件攻擊,在發布補丁和更新時更新軟件非常重要。
- 小心備份和恢復您的數據:建立數據備份和恢復策略是第一步,也可能是最重要的一步。 被勒索軟件加密後,用戶無法使用數據。 如果公司擁有可用於恢復過程的當前備份,則可以減輕攻擊者對數據加密的影響。
- 防止網絡釣魚: 通過電子郵件進行網絡釣魚是勒索軟件的典型攻擊方法。 如果有某種反釣魚電子郵件保護措施,就可以防止 RaaS 攻擊。
- 多重身份驗證:一些勒索軟件攻擊者利用憑證填充,其中涉及使用從一個站點竊取的密碼到另一個站點。 因為仍然需要第二個因素才能獲得訪問權限,所以多因素身份驗證減少了過度使用的單個密碼的影響。
- XDR 端點的安全性:端點安全和威脅搜尋技術(如 XDR)提供了額外的關鍵防禦層來抵禦勒索軟件。 這提供了增強的檢測和響應能力,有助於降低勒索軟件的危險。
- DNS 限制:勒索軟件經常使用某種命令和控制 (C2) 服務器與 RaaS 運營商的平台進行交互。 DNS 查詢幾乎總是涉及從受感染機器到 C2 服務器的通信。 組織可以識別勒索軟件何時試圖與 RaaS C2 交互,並藉助 DNS 過濾安全解決方案阻止通信。 這可以作為一種感染預防。
RaaS 的未來
未來,RaaS 攻擊將在黑客中變得更加普遍和受歡迎。 根據最近的一份報告,在過去 60 個月中,超過 18% 的網絡攻擊是基於 RaaS 的。
RaaS 變得越來越流行,因為它使用起來非常簡單,而且不需要任何技術知識。 此外,我們應該為針對重要基礎設施的 RaaS 攻擊做好準備。
這涵蓋了醫療保健、管理、運輸和能源領域。 黑客認為這些關鍵行業和機構比以往任何時候都更加暴露,將醫院和發電廠等實體置於 RaaS 攻擊的視線範圍內 供應鏈 問題一直持續到 2022 年。
結論
總而言之,即使勒索軟件即服務 (RaaS) 是一種創造,並且是最近對數字用戶造成威脅的危險之一,採取某些預防措施來對抗這種威脅也至關重要。
除了其他基本的安全預防措施外,您還可以依靠尖端的反惡意軟件工具來進一步保護您免受這種威脅。 遺憾的是,RaaS 似乎會暫時留在這裡。
您需要一個全面的技術和網絡安全計劃來抵禦 RaaS 攻擊,從而降低 RaaS 攻擊成功的可能性。
發表評論