Reveton勒索軟件出現(xiàn)在2012年，它被認為是有史以來第一個勒索軟件即服務(wù)(RaaS)。從那時起，RaaS使擁有基本技術(shù)技能的網(wǎng)絡(luò)攻擊團伙能夠無差別地發(fā)動攻擊?，F(xiàn)在，幾乎任何人都可以創(chuàng)建高效的惡意軟件活動。

人們現(xiàn)在看到RaaS的組織能力可以與最專業(yè)的軟件即服務(wù)(SaaS)廠商相媲美。

以下了解勒索軟件即服務(wù)的興起和潛在的衰落。在Reveton出現(xiàn)之后，一切都變了。

RaaS在Reveton扎根

Reveton通過向被感染的電腦發(fā)送虛假的警察機構(gòu)信息進行勒索入侵者甚至冒充美國聯(lián)邦調(diào)查局或其他執(zhí)法機構(gòu)，強迫受害者支付罰款。

據(jù)報道，Reveton的網(wǎng)絡(luò)攻擊者每月從受害者那里賺取約40萬美元。當時，Reveton是獨特的勒索軟件即服務(wù)，因為它是根據(jù)位置定制的。它似乎來自當?shù)貓?zhí)法機構(gòu)。

Reveton惡意軟件包將惡意軟件加載到虛假和劫持的網(wǎng)頁中。如果訪問者點擊了受感染的鏈接，惡意軟件就會通過CVE-2012-1723漏洞掃描用戶的設(shè)備，以尋找可利用的插件。

惡意軟件還包括信息竊取者，它可以滲透密碼管理平臺竊取憑據(jù)。網(wǎng)絡(luò)釣魚活動也會發(fā)送惡意鏈接。最終，Reveton甚至發(fā)展到通過虛假應(yīng)用下載針對智能手機進行攻擊。

勒索軟件即服務(wù)誕生

Reveton的傳播方式非常復(fù)雜，該惡意軟件的操作命令在分布在全球各地的數(shù)十臺服務(wù)器上使用反向代理。Reveton定期發(fā)布新功能和新定制的贖金信息。這也是第一批要求比特幣支付的勒索軟件攻擊之一。

Reveton最獨特的地方在于它將其惡意軟件包作為一種服務(wù)提供給第三方。自從Reveton出現(xiàn)后，其他RaaS團伙也層出不窮。這使得發(fā)動贖金攻擊的工具掌握在更多的網(wǎng)絡(luò)攻擊者手中。毫無疑問，RaaS導(dǎo)致了勒索軟件事件的持續(xù)上升。僅在2021年，全球就發(fā)生了6.23億多起勒索攻擊事件。

就像SaaS品牌一樣

勒索軟件即服務(wù)是更大的勒索軟件現(xiàn)象的產(chǎn)物，其背后造成的損失是驚人的。2021年，平均一次勒索攻擊的贖金達到81.2萬美元，2020年為17萬美元。2021年，勒索軟件攻擊在全球造成的總損失為200億美元。

勒索軟件即服務(wù)(RaaS)還引領(lǐng)了更大的惡意軟件即服務(wù)(MaaS)趨勢。就像他們的SaaS對手一樣，MaaS品牌可以有美觀的網(wǎng)站和每月簡報，宣布新功能、定制和升級。一些MaaS品牌有自己的營銷活動、視頻教程、白皮書和Twitter賬戶。

RaaS的客戶可以選擇不同的訂閱級別，例如基本版、專業(yè)版和企業(yè)版?；蛘撸麄兛赡軙Ц睹看纬晒账鬈浖舻囊欢ū壤H金。傳統(tǒng)上，要注冊惡意軟件即服務(wù)，用戶需要推薦或訪問加密消息或暗網(wǎng)論壇。然而，較新的提供商只要求通過電子郵件設(shè)置一個從普通web URL訪問的帳戶。

RaaS需要更多的投入

成功的問題在于它會吸引注意力。這意味著更成功的惡意軟件即服務(wù)品牌更有可能吸引執(zhí)法部門的注意。如果勒索軟件攻擊特別引人注目，或涉及關(guān)鍵基礎(chǔ)設(shè)施，聯(lián)邦和國際機構(gòu)就會介入。其中一個例子是高調(diào)的REvil勒索軟件團伙的垮臺和解散。

隨著RaaS操作的增長，其基礎(chǔ)設(shè)施也在增長。具有諷刺意味的是，這也會成為一種負擔(dān)，因為勒索軟件攻擊者自己的攻擊面會增長。這意味著更容易被法律權(quán)威機構(gòu)發(fā)現(xiàn)和破壞。因此，RaaS團伙被迫在基礎(chǔ)設(shè)施混淆和冗余方面投入更多資金。這反過來又削減了利潤率和用于創(chuàng)新和擴張的資源。

新流體和無品牌的方法

為了應(yīng)對這些挑戰(zhàn)，一些勒索軟件代理采用了更動態(tài)、更低調(diào)的策略。例如，勒索軟件團伙Vice Society使用一系列不斷變化的工具，包括勒索軟件變體。美國聯(lián)邦調(diào)查局(FBI)和美國中央情報局(CISA)聯(lián)合發(fā)布的一份警告稱，“Vice Society不會使用來源獨特的勒索軟件變體?！?/p>

由于執(zhí)法部門的審查力度加大，對勒索軟件的需求可能正在放緩。Vice Society團隊似乎購買了現(xiàn)成的惡意軟件，而不是注冊RaaS訂閱。勒索軟件分支機構(gòu)在對不同的RaaS工具包進行采樣時變得非常不穩(wěn)定。他們甚至可能根據(jù)泄露的勒索軟件源代碼開發(fā)自己的工具，例如Hello Kitty的源代碼，甚至是Conti泄露的源代碼。

小目標更安全嗎?

這一舉措的另一方面是遠離備受矚目的勒索軟件團伙，其目標是較小的受害者。大多數(shù)攻擊者更喜歡較小的目標，而不是像Colonial Pipeline那樣攻擊大型公司或基礎(chǔ)設(shè)施。例如，Vice Society團伙支持攻擊學(xué)校和大學(xué)，這與大規(guī)模管道規(guī)模的目標相去甚遠。盡管勒索軟件仍然對各種規(guī)模的企業(yè)構(gòu)成威脅，但員工人數(shù)少于1000人的企業(yè)面臨的風(fēng)險最大。

在一次罕見的對勒索軟件團伙的采訪中，一名與REvil有關(guān)的網(wǎng)絡(luò)攻擊者說:“勒索軟件可以攻擊知名目標，但可能挑起一場地緣政治沖突，很快就會被發(fā)現(xiàn)。最好悄悄從中型企業(yè)獲得穩(wěn)定的小額資金。”

有效預(yù)防勒索軟件

美國中央情報局(CISA)勒索軟件指南提供了廣泛的建議，以減輕威脅。它的一些高級建議包括：

• 維護數(shù)據(jù)的離線備份。
• 確保所有備份數(shù)據(jù)都是加密的、不可變的，并覆蓋整個企業(yè)的數(shù)據(jù)基礎(chǔ)設(shè)施。
• 審查第三方供應(yīng)商的安全狀況。
• 為應(yīng)用程序和遠程訪問實施列表策略，僅允許系統(tǒng)在已建立的安全策略下執(zhí)行已知和允許的程序。
• 記錄和監(jiān)控外部遠程連接。
• 實施恢復(fù)計劃，在物理上獨立、分段和安全的位置(即硬盤、存儲設(shè)備或云平臺)維護和保留敏感或?qū)Ｓ袛?shù)據(jù)和服務(wù)器的多個副本。

美國中央情報局(CISA)還建議實現(xiàn)身份訪問管理(IAM)。這可以包括用于管理身份治理的自動化、基于云的和內(nèi)部部署的功能。身份訪問管理(IAM)可以管理勞動力和消費者身份/訪問，并提供特權(quán)帳戶控制。

Reveton為更廣泛的威脅打開了大門，勒索軟件不會很快消失。因此，企業(yè)最好的網(wǎng)絡(luò)安全策略是為可能遭受網(wǎng)絡(luò)攻擊做好充分準備。