Reveton勒索软件于2012年出现,被认为是有史以来第一个勒索软件即服务(RaaS)。从那时起,RaaS使具有基本技术技能的网络攻击组织能够肆意攻击。现在,几乎任何人都可以发起高效的恶意软件活动。RaaS现在被认为可以与最专业的软件即服务(SaaS)供应商的组织能力相媲美。在下面了解勒索软件即服务的兴起和潜在衰落。Reveton出现后,一切都变了。RaaS在Reveton扎根Reveton通过向受感染的计算机发送虚假的警察机构信息来勒索钱财。入侵者甚至冒充联邦调查局或其他执法机构强迫受害者支付罚款。据报道,Reveton的网络攻击者每月从受害者那里赚取大约400,000美元。当时,Reveton是独一无二的勒索软件即服务,因为它是根据位置定制的。它似乎来自当地执法部门。Reveton恶意软件包将恶意软件加载到虚假和被劫持的网页中。如果访问者单击受感染的链接,恶意软件会通过CVE-2012-1723漏洞扫描用户的设备以查找可利用的插件。恶意软件还包括信息窃取程序,它们可以渗透密码管理平台以窃取凭据。网络钓鱼活动还会发送恶意链接。最终,Reveton甚至将虚假应用下载的智能手机作为目标。勒索软件即服务的诞生Reveton以复杂的方式传播,恶意软件在遍布全球的数十台服务器上使用反向代理运行命令。Reveton定期发布新功能和新定制的勒索消息。这也是首批要求以比特币支付的勒索软件攻击之一。Reveton最独特的地方在于它将其恶意软件包作为服务提供给第三方。自从Reveton出现后,其他RaaS帮派层出不穷。这让更多网络攻击者掌握了发起勒索攻击的工具。毫无疑问,RaaS助长了勒索软件事件的持续上升。仅在2021年,全球就会发生超过6.23亿次勒索软件攻击。与SaaS品牌一样,勒索软件即服务是更大的勒索软件现象的产物,其背后的破坏是惊人的。2021年,勒索软件攻击的平均赎金达到81.2万美元,2020年为17万美元。2021年,全球勒索软件攻击的总成本为200亿美元。勒索软件即服务(RaaS)也引领了更大的恶意软件即服务(MaaS)趋势。就像他们的SaaS同行一样,MaaS品牌可以拥有漂亮的网站和每月新闻通讯来宣布新功能、定制和升级。一些MaaS品牌有自己的营销活动、视频教程、白皮书和Twitter帐户。RaaS的客户可以选择不同的订阅级别,例如基本、专业和企业。或者,他们可能会为每次成功的勒索软件攻击支付一定比例的赎金。传统上,要注册恶意软件即服务,用户需要推荐或访问加密消息或暗网论坛。但是,较新的提供商只需要通过从普通WebURL访问的电子邮件设置一个帐户。RaaS需要更多投资才能成功的问题在于它吸引了注意力。这意味着更成功的恶意软件即服务品牌更有可能引起执法部门的注意。如果勒索软件攻击特别引人注目,或涉及关键基础设施,联邦和国际机构就会介入。其中一个例子是备受瞩目的REvil勒索软件团伙的倒台和解散。随着RaaS运营的增长,其基础设施也在增长。具有讽刺意味的是,随着勒索软件攻击者自身攻击面的扩大,这也成为一种负担。这意味着它更容易被合法当局发现和销毁。结果,RaaS团伙被迫在基础设施混淆和冗余方面投入更多资金。这反过来又削减了利润率和用于创新和扩张的资源。新的流动和无品牌方法为了应对这些挑战,一些勒索软件代理正在采用更加动态、低调的策略。例如,勒索软件帮派ViceSociety使用一系列不断变化的工具,包括勒索软件变体。“ViceSociety不会使用来源独特的勒索软件变体,”FBI和CISA联合警告说。需求可能正在放缓。ViceSociety团队似乎购买了现成的恶意软件,而不是注册RaaS订阅。勒索软件分支机构在对不同的RaaS工具包进行采样时变得非常不稳定。他们甚至可能根据泄露的勒索软件源代码开发自己的工具,例如HelloKitty的源代码,甚至是泄露的Conti源代码。小目标更安全吗?此举的另一面是远离针对较小受害者的知名勒索软件团伙。大多数攻击者更喜欢较小的目标,而不是像ColonialPipeline那样攻击大公司或基础设施。例如,ViceSociety帮派支持对学校和大学的袭击,这与大规模管道的规模相去甚远。尽管勒索软件仍然对各种规模的企业构成威胁,但员工人数少于1,000人的企业面临的风险最大。在一次罕见的勒索软件团伙采访中,一位与REvil有联系的网络攻击者说:“勒索软件可以攻击引人注目的目标,但它可能引发地缘政治冲突,这种冲突很快就会被发现。最好悄悄地从中赚取少量稳定的资金中型企业。”有效预防勒索软件CIA(CISA)的勒索软件指南提供了广泛的缓解威胁的建议。其中一些高级建议包括:维护数据的离线备份。确保所有备份数据都是加密的、不可变的,并且跨越整个企业数据基础设施。审查第三方供应商的安全状况。为应用程序和远程访问执行列表策略,允许系统在已建立的安全策略下仅执行已知和允许的程序。记录和监控外部远程连接。实施恢复计划,维护和在物理上独立、分段和安全的位置(即硬盘驱动器、存储设备或云平台)保留敏感或专有数据和服务器的多个副本。美国中央情报局(CISA)还建议实施身份访问管理(IAM)。这可以包括用于管理身份治理的自动化、基于云和内部部署的功能。实体访问管理(IAM)可以管理员工和消费者身份/访问并提供特权帐户控制。Reveton为更广泛的威胁打开了大门,勒索软件不会很快消失。因此,企业最好的网络安全策略就是为可能发生的网络攻击做好充分准备。
