Reveton勒索軟件出現(xiàn)在2012年，它被認(rèn)為是有史以來(lái)第一個(gè)勒索軟件即服務(wù)(RaaS)。從那時(shí)起，RaaS使擁有基本技術(shù)技能的網(wǎng)絡(luò)攻擊團(tuán)伙能夠無(wú)差別地發(fā)動(dòng)攻擊?，F(xiàn)在，幾乎任何人都可以創(chuàng)建高效的惡意軟件活動(dòng)。

人們現(xiàn)在看到RaaS的組織能力可以與最專(zhuān)業(yè)的軟件即服務(wù)(SaaS)廠商相媲美。

以下了解勒索軟件即服務(wù)的興起和潛在的衰落。在Reveton出現(xiàn)之后，一切都變了。

RaaS在Reveton扎根

Reveton通過(guò)向被感染的電腦發(fā)送虛假的警察機(jī)構(gòu)信息進(jìn)行勒索入侵者甚至冒充美國(guó)聯(lián)邦調(diào)查局或其他執(zhí)法機(jī)構(gòu)，強(qiáng)迫受害者支付罰款。

據(jù)報(bào)道，Reveton的網(wǎng)絡(luò)攻擊者每月從受害者那里賺取約40萬(wàn)美元。當(dāng)時(shí)，Reveton是獨(dú)特的勒索軟件即服務(wù)，因?yàn)樗歉鶕?jù)位置定制的。它似乎來(lái)自當(dāng)?shù)貓?zhí)法機(jī)構(gòu)。

Reveton惡意軟件包將惡意軟件加載到虛假和劫持的網(wǎng)頁(yè)中。如果訪問(wèn)者點(diǎn)擊了受感染的鏈接，惡意軟件就會(huì)通過(guò)CVE-2012-1723漏洞掃描用戶的設(shè)備，以尋找可利用的插件。

惡意軟件還包括信息竊取者，它可以滲透密碼管理平臺(tái)竊取憑據(jù)。網(wǎng)絡(luò)釣魚(yú)活動(dòng)也會(huì)發(fā)送惡意鏈接。最終，Reveton甚至發(fā)展到通過(guò)虛假應(yīng)用下載針對(duì)智能手機(jī)進(jìn)行攻擊。

勒索軟件即服務(wù)誕生

Reveton的傳播方式非常復(fù)雜，該惡意軟件的操作命令在分布在全球各地的數(shù)十臺(tái)服務(wù)器上使用反向代理。Reveton定期發(fā)布新功能和新定制的贖金信息。這也是第一批要求比特幣支付的勒索軟件攻擊之一。

Reveton最獨(dú)特的地方在于它將其惡意軟件包作為一種服務(wù)提供給第三方。自從Reveton出現(xiàn)后，其他RaaS團(tuán)伙也層出不窮。這使得發(fā)動(dòng)贖金攻擊的工具掌握在更多的網(wǎng)絡(luò)攻擊者手中。毫無(wú)疑問(wèn)，RaaS導(dǎo)致了勒索軟件事件的持續(xù)上升。僅在2021年，全球就發(fā)生了6.23億多起勒索攻擊事件。

就像SaaS品牌一樣

勒索軟件即服務(wù)是更大的勒索軟件現(xiàn)象的產(chǎn)物，其背后造成的損失是驚人的。2021年，平均一次勒索攻擊的贖金達(dá)到81.2萬(wàn)美元，2020年為17萬(wàn)美元。2021年，勒索軟件攻擊在全球造成的總損失為200億美元。

勒索軟件即服務(wù)(RaaS)還引領(lǐng)了更大的惡意軟件即服務(wù)(MaaS)趨勢(shì)。就像他們的SaaS對(duì)手一樣，MaaS品牌可以有美觀的網(wǎng)站和每月簡(jiǎn)報(bào)，宣布新功能、定制和升級(jí)。一些MaaS品牌有自己的營(yíng)銷(xiāo)活動(dòng)、視頻教程、白皮書(shū)和Twitter賬戶。

RaaS的客戶可以選擇不同的訂閱級(jí)別，例如基本版、專(zhuān)業(yè)版和企業(yè)版。或者，他們可能會(huì)支付每次成功勒索軟件攻擊的一定比例贖金。傳統(tǒng)上，要注冊(cè)惡意軟件即服務(wù)，用戶需要推薦或訪問(wèn)加密消息或暗網(wǎng)論壇。然而，較新的提供商只要求通過(guò)電子郵件設(shè)置一個(gè)從普通web URL訪問(wèn)的帳戶。

RaaS需要更多的投入

成功的問(wèn)題在于它會(huì)吸引注意力。這意味著更成功的惡意軟件即服務(wù)品牌更有可能吸引執(zhí)法部門(mén)的注意。如果勒索軟件攻擊特別引人注目，或涉及關(guān)鍵基礎(chǔ)設(shè)施，聯(lián)邦和國(guó)際機(jī)構(gòu)就會(huì)介入。其中一個(gè)例子是高調(diào)的REvil勒索軟件團(tuán)伙的垮臺(tái)和解散。

隨著RaaS操作的增長(zhǎng)，其基礎(chǔ)設(shè)施也在增長(zhǎng)。具有諷刺意味的是，這也會(huì)成為一種負(fù)擔(dān)，因?yàn)槔账鬈浖粽咦约旱墓裘鏁?huì)增長(zhǎng)。這意味著更容易被法律權(quán)威機(jī)構(gòu)發(fā)現(xiàn)和破壞。因此，RaaS團(tuán)伙被迫在基礎(chǔ)設(shè)施混淆和冗余方面投入更多資金。這反過(guò)來(lái)又削減了利潤(rùn)率和用于創(chuàng)新和擴(kuò)張的資源。

新流體和無(wú)品牌的方法

為了應(yīng)對(duì)這些挑戰(zhàn)，一些勒索軟件代理采用了更動(dòng)態(tài)、更低調(diào)的策略。例如，勒索軟件團(tuán)伙Vice Society使用一系列不斷變化的工具，包括勒索軟件變體。美國(guó)聯(lián)邦調(diào)查局(FBI)和美國(guó)中央情報(bào)局(CISA)聯(lián)合發(fā)布的一份警告稱(chēng)，“Vice Society不會(huì)使用來(lái)源獨(dú)特的勒索軟件變體?！?/p>

由于執(zhí)法部門(mén)的審查力度加大，對(duì)勒索軟件的需求可能正在放緩。Vice Society團(tuán)隊(duì)似乎購(gòu)買(mǎi)了現(xiàn)成的惡意軟件，而不是注冊(cè)RaaS訂閱。勒索軟件分支機(jī)構(gòu)在對(duì)不同的RaaS工具包進(jìn)行采樣時(shí)變得非常不穩(wěn)定。他們甚至可能根據(jù)泄露的勒索軟件源代碼開(kāi)發(fā)自己的工具，例如Hello Kitty的源代碼，甚至是Conti泄露的源代碼。

小目標(biāo)更安全嗎?

這一舉措的另一方面是遠(yuǎn)離備受矚目的勒索軟件團(tuán)伙，其目標(biāo)是較小的受害者。大多數(shù)攻擊者更喜歡較小的目標(biāo)，而不是像Colonial Pipeline那樣攻擊大型公司或基礎(chǔ)設(shè)施。例如，Vice Society團(tuán)伙支持攻擊學(xué)校和大學(xué)，這與大規(guī)模管道規(guī)模的目標(biāo)相去甚遠(yuǎn)。盡管勒索軟件仍然對(duì)各種規(guī)模的企業(yè)構(gòu)成威脅，但員工人數(shù)少于1000人的企業(yè)面臨的風(fēng)險(xiǎn)最大。

在一次罕見(jiàn)的對(duì)勒索軟件團(tuán)伙的采訪中，一名與REvil有關(guān)的網(wǎng)絡(luò)攻擊者說(shuō):“勒索軟件可以攻擊知名目標(biāo)，但可能挑起一場(chǎng)地緣政治沖突，很快就會(huì)被發(fā)現(xiàn)。最好悄悄從中型企業(yè)獲得穩(wěn)定的小額資金?！?/p>

有效預(yù)防勒索軟件

美國(guó)中央情報(bào)局(CISA)勒索軟件指南提供了廣泛的建議，以減輕威脅。它的一些高級(jí)建議包括：

• 維護(hù)數(shù)據(jù)的離線備份。
• 確保所有備份數(shù)據(jù)都是加密的、不可變的，并覆蓋整個(gè)企業(yè)的數(shù)據(jù)基礎(chǔ)設(shè)施。
• 審查第三方供應(yīng)商的安全狀況。
• 為應(yīng)用程序和遠(yuǎn)程訪問(wèn)實(shí)施列表策略，僅允許系統(tǒng)在已建立的安全策略下執(zhí)行已知和允許的程序。
• 記錄和監(jiān)控外部遠(yuǎn)程連接。
• 實(shí)施恢復(fù)計(jì)劃，在物理上獨(dú)立、分段和安全的位置(即硬盤(pán)、存儲(chǔ)設(shè)備或云平臺(tái))維護(hù)和保留敏感或?qū)Ｓ袛?shù)據(jù)和服務(wù)器的多個(gè)副本。

美國(guó)中央情報(bào)局(CISA)還建議實(shí)現(xiàn)身份訪問(wèn)管理(IAM)。這可以包括用于管理身份治理的自動(dòng)化、基于云的和內(nèi)部部署的功能。身份訪問(wèn)管理(IAM)可以管理勞動(dòng)力和消費(fèi)者身份/訪問(wèn)，并提供特權(quán)帳戶控制。

Reveton為更廣泛的威脅打開(kāi)了大門(mén)，勒索軟件不會(huì)很快消失。因此，企業(yè)最好的網(wǎng)絡(luò)安全策略是為可能遭受網(wǎng)絡(luò)攻擊做好充分準(zhǔn)備。