近半年來，RaaS(勒索軟件即服務(wù))正在成為勒索軟件的一個(gè)熱門趨勢。大量勒索軟件團(tuán)伙正在積極拓展RaaS業(yè)務(wù)，尋找“加盟機(jī)構(gòu)”，分工協(xié)作并分享勒索軟件攻擊獲得的利潤。

[[353683]]

很多人認(rèn)為RaaS就是一種勒索軟件租賃服務(wù)，攻擊實(shí)施者會付費(fèi)使用RaaS團(tuán)伙提供的惡意軟件。事實(shí)上，租賃服務(wù)只是RaaS的冰山一角，而且以這種方式出租或出售的通常都是質(zhì)量最差的勒索軟件。

比較著名的勒索軟件團(tuán)伙通常會采用私人會員計(jì)劃，外圍攻擊者可以在會員論壇中提交簡歷以申請會員資格。

對于被接納的會員，每次成功的勒索軟件攻擊后，可以分得贖金的70%-80%， 勒索軟件開發(fā)人員則可獲得20%至30%的傭金。(編者：類似REvil這樣的“大牌”勒索軟件團(tuán)伙甚至?xí)跁T論壇的加密貨幣錢包地址中打入高達(dá)上百萬美元的“保證金”)

REvil的私人會員計(jì)劃條款

為了對受害者的系統(tǒng)進(jìn)行加密，會員組織會雇傭黑客提供服務(wù)，這些黑客可以訪問目標(biāo)網(wǎng)絡(luò)、獲得域管理員特權(quán)、收集并竊取文件，然后將獲得訪問所需的所有信息傳遞給會員組織并對其進(jìn)行加密。

每次攻擊后，贖金利潤通常會平均分配給RaaS小組，入侵網(wǎng)絡(luò)的黑客和勒索軟件會員。

勒索軟件RaaS的三大集團(tuán)

目前，有超過二十個(gè)活躍的RaaS團(tuán)伙幫派正在積極尋求將勒索攻擊外包給勒索軟件“加盟”公司。

正如威脅情報(bào)公司Intel 471在近日發(fā)布的一份報(bào)告中所言，“一些知名的勒索軟件團(tuán)伙結(jié)成了緊密而秘密的犯罪圈子，通過直接和私密的通訊方式聯(lián)系，外人難以覺察。”

根據(jù)過去一年中對勒索軟件團(tuán)伙的監(jiān)測，Intel 471按照知名度和活躍時(shí)間長度，將勒索軟件團(tuán)伙分為三大集團(tuán)(層級)：

• 已經(jīng)成為勒索軟件代名詞的主流團(tuán)伙;
• 老樹開新花，復(fù)活的變體;
• 具備“篡位”潛力的全新變體。

第一集團(tuán)的勒索軟件團(tuán)伙都是在過去幾年中成功獲得數(shù)億勒索贖金的組織。

他們中的絕大多數(shù)還使用了除加密數(shù)據(jù)外的其他勒索方法，例如從受害者的網(wǎng)絡(luò)中竊取敏感信息，并威脅要泄漏這些信息。(編者：甚至有安全專家指出，企業(yè)刪除泄露數(shù)據(jù)繳納的勒索贖金有可能超過解密數(shù)據(jù)的贖金，成為勒索軟件團(tuán)伙的主要收入。)

第一集團(tuán)的RaaS團(tuán)伙包括：

• DopplePaymer(用于攻擊Pemex、BretagneTélécom、紐卡斯?fàn)柎髮W(xué)、杜塞爾多夫大學(xué))、Egregor(Crytek、Ubisoft、Barnes&Noble);
• Netwalker/Mailto(Equinix、UCSF、密歇根州立大學(xué)、收費(fèi)小組);
• REvil/Sodinokibi(Travelex、紐約機(jī)場、德克薩斯州地方政府)。

Ryuk在排名中名列前茅，在去年，大約有三分之一的勒索軟件攻擊中檢測到了其有效載荷。

Ryuk還因使用Trickbot、Emotet和BazarLoader感染媒介將其有效載荷作為多階段攻擊的一部分而聞名，可以輕松地進(jìn)入目標(biāo)網(wǎng)絡(luò)。

此外，Ryuk的分支機(jī)構(gòu)還長期對美國醫(yī)療保健系統(tǒng)發(fā)起大規(guī)模攻擊，并要求巨額贖金支付，今年初已從一名受害者那里收割了3400萬美元贖金。

第二集團(tuán)(復(fù)活組)的RaaS組織在2020年逐漸發(fā)展為數(shù)量更多的會員制連鎖組織，并參與了多起攻擊。

屬于第二集團(tuán)的勒索軟件包括：SunCrypt、Conti、Clop、Ragnar Locker、Pysa/Mespinoza、Avaddon、DarkSide(可能是來自REvil的一個(gè)分支)等等。

正如第一集團(tuán)的勒索軟件團(tuán)伙一樣，他們也將數(shù)據(jù)泄露勒索用作輔助勒索方法。

第三集團(tuán)(新興組)的RaaS團(tuán)伙向會員分發(fā)全新開發(fā)的勒索軟件，但是根據(jù)Intel 471的說法，“目前安全業(yè)界對于此類勒索軟件的成功攻擊、攻擊數(shù)量、斬獲贖金金額以及緩解成本知之甚少。”

第三集團(tuán)勒索軟件團(tuán)伙包括Nemty、Wally、XINOF、Zeoticus、CVartek.u45、Muchlove、Rush、Lolkek、Gothmog和Exorcist。

其他活躍的RaaS團(tuán)體

除了英特爾471關(guān)注的勒索軟件團(tuán)伙外，還有很多其他新興的RaaS團(tuán)隊(duì)。

例如，Dharma是一款資深RaaS，自2017年以來就一直存在，不少業(yè)界人士認(rèn)為它是Crysis的勒索軟件的分支，后者于2016年開始運(yùn)行。

Dharma不使用數(shù)據(jù)泄漏站點(diǎn)，也沒有關(guān)于數(shù)據(jù)被盜的廣泛報(bào)道。他們的會員收取的贖金從數(shù)千美元到數(shù)十萬美元不等。

于2019年9月出現(xiàn)的LockBit是另一個(gè)備受矚目的RaaS業(yè)務(wù)，針對私營企業(yè)，后來又被Microsoft觀察到攻擊醫(yī)療和關(guān)鍵服務(wù)。

值得注意的是，LockBit團(tuán)伙與Maze聯(lián)手創(chuàng)建了一個(gè)勒索卡特爾組織，在攻擊過程中共享數(shù)據(jù)泄漏平臺并交換戰(zhàn)術(shù)和情報(bào)，大大提高了攻擊效率。LockBit勒索軟件參與者在獲得對受害者網(wǎng)絡(luò)的訪問權(quán)限后，只需花費(fèi)五分鐘即可部署有效負(fù)載。

其他Intel 471報(bào)告中沒有提及的勒索軟件還包括：Ragnarok、CryLock、ProLock、Nefilim和Mount Locker，這些都是活躍的勒索軟件，參與過近期的一些攻擊。