Reveton勒索软件出现在2012年,它被认为是有史以来第一个勒索软件即服务(RaaS)。从那时起,RaaS使拥有基本技术技能的网络攻击团伙能够无差别地发动攻击。现在,几乎任何人都可以创建高效的恶意软件活动。

人们现在看到RaaS的组织能力可以与最专业的软件即服务(SaaS)厂商相媲美。

以下了解勒索软件即服务的兴起和潜在的衰落。在Reveton出现之后,一切都变了。

RaaS在Reveton扎根

Reveton通过向被感染的电脑发送虚假的警察机构信息进行勒索入侵者甚至冒充美国联邦调查局或其他执法机构,强迫受害者支付罚款。

据报道,Reveton的网络攻击者每月从受害者那里赚取约40万美元。当时,Reveton是独特的勒索软件即服务,因为它是根据位置定制的。它似乎来自当地执法机构。

Reveton恶意软件包将恶意软件加载到虚假和劫持的网页中。如果访问者点击了受感染的链接,恶意软件就会通过CVE-2012-1723漏洞扫描用户的设备,以寻找可利用的插件。

恶意软件还包括信息窃取者,它可以渗透密码管理平台窃取凭据。网络钓鱼活动也会发送恶意链接。最终,Reveton甚至发展到通过虚假应用下载针对智能手机进行攻击。

勒索软件即服务诞生

Reveton的传播方式非常复杂,该恶意软件的操作命令在分布在全球各地的数十台服务器上使用反向代理。Reveton定期发布新功能和新定制的赎金信息。这也是第一批要求比特币支付的勒索软件攻击之一。

Reveton最独特的地方在于它将其恶意软件包作为一种服务提供给第三方。自从Reveton出现后,其他RaaS团伙也层出不穷。这使得发动赎金攻击的工具掌握在更多的网络攻击者手中。毫无疑问,RaaS导致了勒索软件事件的持续上升。仅在2021年,全球就发生了6.23亿多起勒索攻击事件。

就像SaaS品牌一样

勒索软件即服务是更大的勒索软件现象的产物,其背后造成的损失是惊人的。2021年,平均一次勒索攻击的赎金达到81.2万美元,2020年为17万美元。2021年,勒索软件攻击在全球造成的总损失为200亿美元。

勒索软件即服务(RaaS)还引领了更大的恶意软件即服务(MaaS)趋势。就像他们的SaaS对手一样,MaaS品牌可以有美观的网站和每月简报,宣布新功能、定制和升级。一些MaaS品牌有自己的营销活动、视频教程、白皮书和Twitter账户。

RaaS的客户可以选择不同的订阅级别,例如基本版、专业版和企业版。或者,他们可能会支付每次成功勒索软件攻击的一定比例赎金。传统上,要注册恶意软件即服务,用户需要推荐或访问加密消息或暗网论坛。然而,较新的提供商只要求通过电子邮件设置一个从普通web URL访问的帐户。

RaaS需要更多的投入

成功的问题在于它会吸引注意力。这意味着更成功的恶意软件即服务品牌更有可能吸引执法部门的注意。如果勒索软件攻击特别引人注目,或涉及关键基础设施,联邦和国际机构就会介入。其中一个例子是高调的REvil勒索软件团伙的垮台和解散。

随着RaaS操作的增长,其基础设施也在增长。具有讽刺意味的是,这也会成为一种负担,因为勒索软件攻击者自己的攻击面会增长。这意味着更容易被法律权威机构发现和破坏。因此,RaaS团伙被迫在基础设施混淆和冗余方面投入更多资金。这反过来又削减了利润率和用于创新和扩张的资源。

新流体和无品牌的方法

为了应对这些挑战,一些勒索软件代理采用了更动态、更低调的策略。例如,勒索软件团伙Vice Society使用一系列不断变化的工具,包括勒索软件变体。美国联邦调查局(FBI)和美国中央情报局(CISA)联合发布的一份警告称,“Vice Society不会使用来源独特的勒索软件变体。”

由于执法部门的审查力度加大,对勒索软件的需求可能正在放缓。Vice Society团队似乎购买了现成的恶意软件,而不是注册RaaS订阅。勒索软件分支机构在对不同的RaaS工具包进行采样时变得非常不稳定。他们甚至可能根据泄露的勒索软件源代码开发自己的工具,例如Hello Kitty的源代码,甚至是Conti泄露的源代码。

小目标更安全吗?

这一举措的另一方面是远离备受瞩目的勒索软件团伙,其目标是较小的受害者。大多数攻击者更喜欢较小的目标,而不是像Colonial Pipeline那样攻击大型公司或基础设施。例如,Vice Society团伙支持攻击学校和大学,这与大规模管道规模的目标相去甚远。尽管勒索软件仍然对各种规模的企业构成威胁,但员工人数少于1000人的企业面临的风险最大。

在一次罕见的对勒索软件团伙的采访中,一名与REvil有关的网络攻击者说:“勒索软件可以攻击知名目标,但可能挑起一场地缘政治冲突,很快就会被发现。最好悄悄从中型企业获得稳定的小额资金。”

有效预防勒索软件

美国中央情报局(CISA)勒索软件指南提供了广泛的建议,以减轻威胁。它的一些高级建议包括:

•维护数据的离线备份。

•确保所有备份数据都是加密的、不可变的,并覆盖整个企业的数据基础设施。

•审查第三方供应商的安全状况。

•为应用程序和远程访问实施列表策略,仅允许系统在已建立的安全策略下执行已知和允许的程序。

•记录和监控外部远程连接。

•实施恢复计划,在物理上独立、分段和安全的位置(即硬盘、存储设备或云平台)维护和保留敏感或专有数据和服务器的多个副本。

美国中央情报局(CISA)还建议实现身份访问管理(IAM)。这可以包括用于管理身份治理的自动化、基于云的和内部部署的功能。身份访问管理(IAM)可以管理劳动力和消费者身份/访问,并提供特权帐户控制。

Reveton为更广泛的威胁打开了大门,勒索软件不会很快消失。因此,企业最好的网络安全策略是为可能遭受网络攻击做好充分准备。