在过去的六个月里,RaaS(勒索软件即服务)正在成为勒索软件的热门趋势。大量勒索软件团伙积极拓展RaaS业务,寻找“联合机构”分工合作,分享勒索软件攻击利润。很多人认为RaaS是一种勒索软件租赁服务,攻击者会付费使用RaaS团伙提供的恶意软件。事实上,出租服务只是RaaS的冰山一角,以这种方式出租或出售的通常是质量最差的勒索软件。较为突出的勒索软件团伙通常采用私人会员计划,外部人员可以通过在会员论坛中提交简历来申请会员资格。对于接受的会员,每次勒索软件攻击成功后,他们可以分享70%-80%的赎金,勒索软件开发者可以获得20%到30%的佣金。(小编:像REvil这样的“大牌”勒索软件团伙甚至会在会员论坛的加密货币钱包地址中“存款”数百万美元)REvil的私人会员计划条款是加密受害者的系统,附属组织雇用黑客的服务他们可以访问目标网络、获得域管理员权限、收集和窃取文件,然后传递和加密访问附属组织所需的所有信息。每次攻击后,赎金利润通常在RaaS组织、闯入网络的黑客和勒索软件附属机构之间平分。勒索软件RaaS的三巨头目前,有超过两打活跃的RaaS团伙积极寻求将勒索软件攻击外包给勒索软件“附属”公司。正如威胁情报公司Intel471在近日发布的一份报告中所说,“一些知名的勒索软件团伙已经形成了严密而隐秘的犯罪圈子,并通过直接、私密的通信方式相互联系,外人难以察觉。”根据过去一年对勒索软件团伙的监测情况,Intel471将勒索软件团伙根据知名度和活跃时间分为三组(级别):已成为勒索软件代名词的主流团伙;身体;具有“篡夺”潜力的新变体。第一组勒索软件团伙都是在过去几年中设法获得数亿美元赎金的组织。他们中的绝大多数除了对数据进行加密外,还使用了其他勒索手段,例如从受害人的网络中窃取敏感信息并以泄露为威胁。(小编:甚至有安全专家指出,企业为删除泄露数据支付的赎金可能会超过解密数据的赎金,成为勒索团伙的主要收入。)第一类RaaS团伙包括:DopplePaymer(用于攻击Pemex、BretagneTélécom、纽卡斯尔大学、杜塞尔多夫大学)、Egregor(Crytek、Ubisoft、Barnes&Noble);Netwalker/Mailto(Equinix、UCSF、密歇根州立大学、BillingGroup);REvil/Sodinokibi(Travelex、纽约机场、德克萨斯州和地方政府)。Ryuk位居榜首,其有效载荷在去年大约三分之一的勒索软件攻击中被检测到。Ryuk还因使用Trickbot、Emotet和BazarLoader感染向量来交付其有效负载作为多阶段攻击的一部分而闻名,从而可以轻松访问目标网络。此外,Ryuk的关联方长期对美国医疗体系发起大规模攻击,并索要巨额赎金。今年早些时候,他们从一名受害者那里收取了3400万美元的赎金。第二组(复活组)的RaaS组织在2020年逐渐发展成为数量较多的会员制链组织,并参与了多次攻击。属于第二组的勒索软件包括:SunCrypt、Conti、Clop、RagnarLocker、Pysa/Mespinoza、Avaddon、DarkSide(可能是REvil的一个分支)等。就像第一组勒索软件团伙一样,他们也将数据泄露勒索作为二次勒索手段。第三组(新兴组)的RaaS团伙向成员分发新开发的勒索软件,但据Intel471称,“目前安全行业对此类勒索软件的成功攻击、攻击次数、赎金金额知之甚少获得,缓解成本更低。”GroupIII勒索软件团伙包括Nemty、Wally、XINOF、Zeoticus、CVartek.u45、Muclove、Rush、Lolkek、Gothmog和Exorcist。其他活跃的RaaS组织除了英特尔471重点关注的勒索软件团伙外,还有许多其他新兴的RaaS组织。例如,Dharma是自2017年以来一直存在的老牌RaaS,许多业内人士认为它是Crysis勒索软件的分支,后者于2016年开始运行。Dharma不使用数据泄露站点,也没有广泛的数据盗窃报告。他们的成员收取的赎金从几千美元到几十万美元不等。LockBit于2019年9月出现,是另一家备受瞩目的RaaS业务,针对私营企业,后来被微软观察到攻击医疗和关键服务。值得注意的是,LockBit团伙与Maze联手打造勒索卡特尔组织,在攻击过程中共享数据泄露平台,交换战术和情报,大大提高了攻击效率。LockBit勒索软件参与者获得受害者网络的访问权限后,只需五分钟即可部署有效负载。英特尔471报告中未提及的其他勒索软件包括:Ragnarok、CryLock、ProLock、Nefilim和MountLocker,这些勒索软件都参与了最近的一些攻击。
