25 家勒索软件即服务：勒索软件业务 “兴旺发达”

超过25家勒索软件即服务（RaaS）门户网站正为其他犯罪组织提供勒索软件租赁服务。

图：黑客论坛上的勒索软件即服务（RaaS）广告

勒索软件即服务是一个网络安全术语，指通过专用门户网站或黑客论坛帖子将勒索软件出租给其他组织的犯罪团伙。

RaaS门户网站为其他犯罪团伙提供现成的勒索软件代码。这些团伙通常称为RaaS客户或会员，他们租用勒索软件代码，通过RaaS提供的选项定制这些代码，然后选种方式在现实世界攻击中加以部署。

RaaS会员采用的方法多种多样，包括鱼叉式电子邮件攻击、大规模无差别垃圾邮件投放、利用被盗远程桌面协议（RDP）凭证获取企业网络访问权限，或者利用网络设备漏洞访问内部企业网络。

无论会员如何感染受害者，此类勒索软件攻击中收获的赎金都会流向RaaS团伙，抽成一小部分后转给会员。

RaaS产品自2017年起便一直存在，且广为流传。借助此类产品，非技术流犯罪团伙即使不知道怎样编码，不懂得如何处理高级密码学概念，也能传播勒索软件。

RaaS层级

11月16日，网络犯罪情报公司Intel 471发布报告称，目前大约有25种RaaS产品在地下黑客市场挂牌出售。

尽管有些勒索软件犯罪团伙并未采取将“产品”出租给其他组织的运作方式，但当今市面上的RaaS门户数量远远超过了许多安全专家的认知，犯罪团伙但凡想要试水勒索软件攻击，可利用的勒索软件服务十分丰富。

但并非所有RaaS产品都具备相同的功能。一直以来，Intel 471根据RaaS的复杂程度、功能和有据可查的攻击记录，将RaaS服务分为三个层级。

第一层级是当今最著名的勒索软件运营业务。要被归类为第一层级的RaaS，运营必须持续数月之久，通过大量攻击案例证明代码的可行性，且即使遭遇公开曝光也可以继续运营。

REvil、Netwalker、DopplePaymer、Egregor（Maze）和Ryuk等就归属第一层级的RaaS。

除Ryuk以外，所有第一层级的RaaS运营商还经营专门的“泄露站点”，作为运作良好的勒索联盟的一部分，用来点名羞辱受害者。

取决于所招募会员的类型，这些团伙还会采用各种各样的入侵方式。可以利用网络设备中的漏洞（通过聘请网络专家）来破坏网络，可以将勒索软件有效载荷释放在已经被其他恶意软件感染的系统上（通过与其他恶意软件组织合作），或者通过RDP连接访问公司网络（通过与暴力僵尸网络运营商或销售商合作，或利用被盗RDP凭证）。

第二层级的RaaS门户已在地下黑客界享有一定声誉，向客户提供高级勒索软件服务，但尚未达到第一层级运营商的会员数量与攻击规模。

此类RaaS运营商包括Avaddon、Conti、Clop、DarkSide、Mespinoza（Pysa）、RagnarLocker、Ranzy（Ako）、SunCrypt和Thanos，都是勒索软件世界的后起之秀。

第三层级是新设立的RaaS门户或产品，只有有限的信息可查，或者根本没有相关信息。某些情况下，这些门户或产品是否健在都尚未可知，或许其缔造者在尝试失败之后就放弃了。

目前归属这一层级的有CVartek.u45、Exorcist、Gothmog、Lolkek、Muchlove、Nemty、Rush、Wally、Xinof、Zeoticus和（后来的）ZagreuS。

总而言之，尽管通过犯罪活动创造利润，但地下网络犯罪生态系统仍然是一个市场，就像所有市场一样，受到主宰当今任何其他市场的共同原则的支配。

大量的服务提供商是经济蓬勃发展的明显标志，表明这一市场远未达到饱和。只有当犯罪团伙创建的RaaS门户网站数量超过愿意注册的会员数量之时，或者公司企业加强安全措施，使入侵行为难以实施，骗子所获利润日渐枯竭之时，RaaS市场才会饱和。