甚麽是勒索軟件即服務?
勒索軟件即服務(Raas)是某種類型惡意軟件的特定散發模式,它對網絡安全構成重大威脅。這種聯盟型計劃讓更多潛在網絡犯罪分子有機會在沒有所需的技術和程式設計專業知識的情況下發起攻擊,因而使勒索軟件攻擊變得更加猖獗。
由於勒索軟件的破壞力,企業瞭解 RaaS 對網絡安全的影響以及保護系統免受勒索軟件攻擊已變得尤其重要。
瞭解勒索軟件即服務
勒索軟件即服務(RaaS)是一種專門使用特定類型惡意軟件(勒索軟件),並在暗網上營運的商業模式。簡單而言,它是包括微軟、Adobe、Shopify、Zoom 和 Dropbox 在內的許多大公司都在使用的更傳統、更合法的軟件即服務(SaaS)模式的一種惡意演變。在 RaaS 商業模式中,營運商創造勒索軟件(通常是包括勒索軟件的整個生態系統)並將其提供予第三方。網絡犯罪分子可以免費「訂閱」勒索軟件即服務(RaaS)。當成為該計劃的合作夥伴後,他們就可以在發生攻擊後從贖金中按一定比例支付服務費用。
網絡攻擊者如果想進行勒索軟件攻擊,但沒有時間和能力開發自己的惡意軟件,只需在暗網上選擇一個 RaaS 解決方案。他們可以獲得勒索軟件和所有必要的元件,如命令與控制(C2)儀表板、建造器(用於快速創造獨特惡意軟件樣本的程式)、惡意軟件和介面升級、支援、說明和託管。然後,他們就可以發動攻擊,而無需進行所有的開發工作。因此,惡意行為者無需任何開發此類惡意軟件的知識或經驗,就能執行複雜的勒索軟件攻擊鏈。
通常,提供勒索軟件服務的營運商會圍繞其惡意軟件發展一整套產品。這可能包括社群討論區、戰略攻擊手冊和客戶支援等一系列服務。這對沒有網絡攻擊經驗的潛在攻擊者尤其有用。附加的 RaaS 服務可能包括:
- 定制工具,用於創造高度針對性的攻擊
- 附加工具,例如數據滲入程式
- 提供建議和討論的社群討論區
- 戰略攻擊手冊
- 設定儀表板和產品的說明
- 攻擊手冊,其中包括對攻擊者使用的工具、戰術和技術的描述。
無論攻擊者選擇使用哪種勒索軟件作為服務,其最終目的都是一樣的:入侵個人或機構的網絡,竊取或解密資料,然後要求目標支付贖金。
惡意軟件、勒索軟件和勒索軟件即服務之間的區別
惡意軟件是指用於未經授權存取資訊科技系統或電子設備的任何類型惡意軟件的總稱。使用這種方式有很多目的,例如竊取資料和破壞系統。然而,勒索軟件是一種用於感染目標系統並加密或破壞其資料的惡意軟件;目標可能被要求支付贖金(這也是勒索軟件名稱的由來)來阻止攻擊者公開發佈資訊,或者在資料被加密的情況下獲得解密金鑰來恢復資料。
勒索軟件即服務(Raas)有甚麽法律後果?
由於 RaaS 支援一種特定類型的網絡犯罪,而且是在暗網中運作,因此整個業務模式都是非法的,這一點應該非常清楚。任何類型的行業參與其中,無論是作為營運商還是附屬機構(「訂閱者」)都是非法的。這包括銷售 RaaS、購買 RaaS 從而進行勒索軟件攻擊、入侵網絡、加密資料或勒索贖金。
勒索軟件即服務是如何運作的?
勒索軟件即服務是按照組織層次結構運作的。位於階梯頂端的是營運商,通常是開發勒索軟件並將其出售的集團。營運商基本上充當管理員的角色,監督 RaaS 業務營運的各個方面,包括管理基礎設施和使用者介面。在通常情況下,營運商還會處理贖金支付事宜,並向支付贖金的受害者提供解密金鑰。在營運商集團內部,可能還有更小的指定角色,包括管理員、開發人員和測試團隊。
RaaS 附屬機構,即「客戶」,購買 RaaS 使用權,以便在攻擊中使用營運商的勒索軟件。他們會在確定攻擊機會後進行部署。附屬機構的職責是確定目標、執行勒索軟件、設定贖金、管理攻擊後的溝通,並在支付贖金後發送解密金鑰。
在 Kaspersky 最近發佈的 2023 年防勒索軟件日(Anti-Ransomware Day 2023)調查報告中,揭示了 2022 年勒索軟件攻擊的主要初始媒介。報告顯示,去年超過 40% 的公司至少遭受過一次勒索軟件攻擊,其中中小型企業平均支付了 6500 美元的恢復費用,而企業則支付了98000 美元的巨額費用。研究指出了主要的攻擊切入點,包括利用提供予公眾使用的應用程式(43%)、被入侵的用戶帳戶(24%)和惡意電子郵件(12%)。
一旦勒索軟件被下載到系統中,它就會嘗試停用端點的安全軟件,而當攻擊者獲得存取權限後,他們就可以重新安裝工具和惡意軟件。然後,他們就可以穿梭於網絡中,發送勒索軟件。當他們加密檔後,就可以發送勒索信件。一般來說,這是以在受害者電腦上出現一個 TXT 檔案的方式來進行,該檔案會告訴受害者他們的系統已被入侵,他們必須支付贖金才能獲得解密金鑰來重新獲得控制權。
勒索軟件作為一種服務是如何盈利的?
網絡犯罪分子可以免費「訂閱」勒索軟件即服務(RaaS)。一旦成為該計劃的合作夥伴,他們可以在發生攻擊後支付服務費用。支付金額以受害者所支付的贖金百分比作決定,通常是每宗交易的10% 到 40%。不過,加入計劃並不是一件簡單的事,因為需要符合嚴格的要求。
你需要瞭解的勒索軟件即服務例子
網絡犯罪分子善於不斷改善其勒索軟件服務,以便能一直滿足購買RaaS 的「客戶」需求。暗網上有各種各樣的勒索軟件即服務(Raas)程式,瞭解這些程式的概況有助理解它們如何以及為甚麽會構成威脅。以下是近年來廣泛傳播的幾個勒索軟件即服務實例。
- LockBit:這種特殊的勒索軟件利用伺服器訊息區(SMB)和微軟的
PowerShell 自動化和配置管理程式入侵了許多機構的網絡。 - BlackCat:這種勒索軟件使用 Rust 程式設計,容易進行定制,因此可以針對多種系統架構進行部署。
- 蜂巢(Hive):蜂巢是一種特別邪惡的 RaaS,它透過公開發佈系統漏洞的詳細資訊方式,以及經常倒數計時被盜資訊的公開時間對目標施加巨大壓力,從而迫使目標支付贖金。
- Dharma:電子郵件是進行網絡釣魚攻擊的最常見方法,這種 RaaS 針對受害者透過電子郵件附件來模仿這種攻擊,並已成功進行了數百次攻擊。
- DarkSide:該勒索軟件集團的惡意軟件被認為是 2021 年 Colonial Pipeline 入侵事件的罪魁禍首。
- REvil:可能是最普遍被使用的 RaaS 集團,該勒索軟件在 2021年對 Kaseya 和 CAN Financial 進行了攻擊,大約有 1,500 間機構受到影響。
保護設備免受勒索軟件侵害的 10 個小提示
勒索軟件只是人們在上網時必須警惕的眾多威脅之一,而且從勒索軟件中恢復是一項極具挑戰性且代價高昂的工作。雖然完全消除這些威脅是不可能的,但有大量的措施和最佳實踐方法可以增強網絡安全,防範 RaaS,甚至可以緩解很多數碼攻擊。以下是保護電子設備免受勒索軟件攻擊的 10 個小提示:
- 定期在分開的設備上備份資料 -- 必要時建立多個備份;企業還應制定資料恢復計劃,以防受到攻擊。
- 使用強大的端點保護軟件,定期掃描和清除潛在威脅。
- 確保所有軟件都是最新版本,並運行最新的安全修補程式。
- 盡可能啟用多因素或生物識別驗證。
- 緊記密碼衛生 -- 使用可靠的密碼管理器產生和儲存強密碼,並為不同帳戶建立不同的登入資料。
- 使用強大的電子郵件掃描軟件來捕捉惡意電子郵件和潛在的網絡釣魚攻擊。
- 制定並維持一套穩健的網絡安全政策: 注意外部週邊,制定涵蓋整個機構的全面網絡安全政策。該政策應顧及遙距存取、第三方供應商和員工的安全協議。
- 由於被盜憑證可能會在暗網出售,因此應使用 Kaspersky Digital Footprint Intelligence (Kaspersky 數碼足跡情報)來監控影子資源,以便能及時發現相關威脅
- 使用「最小特權」原則,盡可能減少管理或系統的存取權限。
- 推行涵蓋 RaaS 網絡安全和其他潛在威脅的安全意識培訓。
- 除非來源是已知和可信的,否則避免點擊電子郵件連結 -- 如果有疑問,可在瀏覽器的搜尋欄位中手動輸入網站,然後前往該頁面。
當然,即使是最嚴格的保護措施也不一定能防止勒索軟件攻擊。當最壞的情況發生時,仍有一些方法可以減輕這些攻擊的後果。
勒索軟件即服務的持久威脅
勒索軟件本身就是一個網絡安全顧慮。但是,勒索軟件即服務的商業模式使更多潛在的網絡犯罪分子有能力在沒有任何特殊專業技術或知識的情況下發動這些攻擊,從而將這種特殊的惡意軟件變成了一種更大的威脅。由於這些攻擊會對目標機構或個人造成嚴重的經濟影響,因此瞭解保護系統免受勒索軟件攻擊的各種方法非常重要。其中很多都是基本的網絡安全最佳實踐方法,但機構可能需要考慮採取進一步的行動,如提供安全培訓和定期備份不同的系統。
購買 Kaspersky Premium 可享 1 年免費 Kaspersky Safe Kids。Kaspersky Premium 榮獲五項 AV-TEST 獎項,分別是最佳保護、最佳效能、最快 VPN,Windows 批准的家長控制和 Android 家長控制的最佳評級。
相關產品和服務:
甚麽是勒索軟件即服務?
Kaspersky
