什麼是勒索軟體即服務?
勒索軟體即服務(Raas)是特定類型惡意軟體的某種散播模型,對網路安全構成重大威脅。這種附加類型手法讓更多潛在的網路犯罪份子無需具備必要的技術和程式設計的專業知識就能發動攻擊,進而使勒索軟體攻擊更加普遍。
有鑑於勒索軟體的破壞性,對於公司行號來說,了解 RaaS 對網路安全的影響以及保護系統避免勒索軟體的侵害非常重要。
了解勒索軟體即服務
勒索軟體即服務(RaaS)是一種專門針對特定類型的惡意軟體(勒索軟體)並在暗網上運行的商業模式。簡而言之,勒索軟體即服務是傳統而合法的軟體即服務(SaaS)模式的惡意版本,許多大公司都會使用軟體即服務模式,包括 Microsoft、Adobe、Shopify、Zoom 和 Dropbox。RaaS 商業模式中,營運商製作勒索軟體(通常也包括整套的生態系統)並將其提供給第三方。網路犯罪份子可以免費「訂閱」勒索軟體即服務(RaaS),並在使用該程式進行攻擊後支付贖金中的一定百分比作為服務費用。
想要進行勒索軟體攻擊但缺乏時間和能力自行開發惡意軟體的網路攻擊者可以簡單在暗網上選擇 RaaS 解決方案。他們可以存取勒索軟體和所有必要的元件,例如命令和控制(C2)面板、建構器(用於快速建立獨特惡意軟體樣本的程式)、惡意軟體和介面升級、支援、說明和託管,並在準備就緒後即可發動攻擊,無需參與任何開發工作。因此,惡意人士能執行複雜的勒索軟體攻擊鏈,而無需具備開發相關惡意軟體的任何知識或經驗。
通常,提供勒索軟體即服務的業者會一併開發惡意軟體相關的全套產品,可能包括更為廣泛的服務,例如:社區論壇、策略性攻擊手冊和客戶支援,對於沒有網路攻擊經驗的潛在攻擊者特別有用。其他的 RaaS 服務可能包括:
- 用於建立高度針對性攻擊的自訂工具
- 資料外洩程式等其他工具
- 提供建議和討論的社群論壇
- 策略性攻擊手冊
- 設定面板和產品說明
- 為攻擊者說明工具、策略和手法的攻擊手冊。
無論攻擊者選擇使用何種類型的勒索軟體即服務,最終目標皆相同:危害個人或組織的網路並竊取或解密資料,然後威脅受害者支付贖金。
惡意軟體、勒索軟體和勒索軟體即服務間的差別
惡意軟體是出於惡意而未經授權存取 IT 系統或電子裝置的任何類型軟體的總稱。惡意軟體有多種目的,例如:資料竊取和導致系統中斷。然而,勒索軟體是一種用於感染目標系統並進行加密或破壞資料的惡意軟體,並讓受害者支付贖金(因此而得名)以換取解密金鑰或復原受到加密的資料,否則攻擊者將洩漏其資料。
勒索軟體即服務(Raas)是否合法?
RaaS 助長了特定類型的網路犯罪且在暗網上運行,因此其整體商業模式很明顯為非法。任何類型的參與-無論是作為營運方還是合作方(「訂閱戶」)皆為非法,包括出售 RaaS、購買 RaaS 來執行勒索軟體攻擊、破壞網路、加密資料或勒索贖金。
勒索軟體即服務的運作原理為何?
RaaS 以組織性層級結構運作,其中頂端為營運方,通常是開發勒索軟體並將其出售的團體。營運方本質上為管理員,其監督 RaaS 業務營運的各個方面,包括管理其基礎設施和使用者介面。通常,營運方還會處理贖金付款並向已支付贖金的受害者提供解密金鑰。營運團體內部可能又分有多個職務,包括管理員、開發人員和測試團隊。
RaaS 的合作方,或所謂的「客戶」,會購買 RaaS 的存取權限,以便在攻擊中使用營運方的勒索軟體。合作方會尋找攻擊機會並進行部署,也包括尋找目標、執行勒索軟體、設定贖金、管理攻擊後的聯絡方式,並在受害者支付贖金後傳送解密金鑰。
卡巴斯基 2023 年反勒索軟體日的最新調查結果揭示了 2022 年勒索軟體攻擊的整體狀況。該報告顯示,超過 40% 的公司去年至少經歷過一次勒索軟體攻擊,中小企業平均需要支付 6,500 美元才能恢復,而企業則需要支付 98,000 美元。該研究也指出了主要的入侵點,包括利用面向公眾的應用程式(43%)、不安全的使用者帳戶(24%)和惡意電子郵件(12%)。
勒索軟體進入系統後就會嘗試停用端點安全軟體,攻擊者在獲得存取權限後就會重新安裝工具和惡意軟體,讓其能網路在中執行相關動作並執行勒索軟體,並在完成檔案加密後寄出勒索信。一般來說勒索信會是 TXT 檔案並出現在受害者電腦上,檔案中會向受害者說明其系統已被破壞,需要支付贖金換取解密金鑰才能重新獲得對系統控制權。
勒索軟體即服務如何獲利?
網路犯罪份子可以免費「訂閱」勒索軟體即服務(RaaS),並在作為合作方進行攻擊後支付服務費用。支付金額為受害者所支付贖金的一定百分比,通常為每筆交易的 10% 到 40%。然而,要成為合作方需要先滿足相關的嚴格條件。
勒索軟體即服務的例子
網路犯罪份子越來越善於改進勒索軟體服務,以便能夠滿足購買 RaaS 的「客戶」的需求。暗網上具有各式各樣的勒索軟體即服務(Raas)程式,對這些程式有大致上的了解能幫助我們知道其如何以及為何構成威脅。以下例子是近年來廣泛傳播的一些勒索軟體即服務。
- LockBit:特殊的勒索軟體 LockBit 利用伺服器訊息區塊(SMB)和 Microsoft 的 PowerShell 自動化和設定管理程式破壞了許多組織的網路。
- BlackCat:勒索軟體 BlackCat 因使用 Rust 程式編寫而很容易進行調整,能針對多種系統架構進行部署。
- Hive:Hive 是一種特別邪惡的 RaaS,會對目標施加巨大壓力,透過洩露系統漏洞的詳細資訊並對被盜資訊的洩露進行倒數計時,迫使受害者支付贖金。
- Dharma:電子郵件是執行網路釣魚攻擊最常見的方法,而 Dharma RaaS 發起了數百次攻擊,並模仿網路釣魚透過電子郵件附件瞄準受害者進行攻擊。
- DarkSide:勒索軟體組織的惡意軟體 DarkSide 被認為是造成 2021 年殖民管道(Colonial Pipeline)洩漏事件的罪魁禍首。
- REvil:勒索軟體 REvil 可能是最猖獗的 RaaS 組織,其在 2021 年對 Kaseya 進行攻擊,影響了約 1,500 個組織和 CAN Financial。
保護裝置避免勒索軟體侵害的 10 個建議
勒索軟體只是進行線上活動時需要留意的眾多威脅之一,但受到勒索軟體攻擊的後果和代價可能非常麻煩而昂貴。雖然不可能完全消除此類威脅,但有很多措施和方式能增強針對 RaaS 的網路安全,並可實際上避免許多數位攻擊。以下是保護電子裝置避免勒索軟體侵害的 10 個建議:
- 定期備份資料至其他裝置,並在需要時建立多個備份;組織團體還應該擬定資料恢復計劃以應對攻擊。
- 使用強大的端點保護軟體定期掃描並消除潛在威脅。
- 確保所有軟體都更新至最新版本的並運行最新的安全補丁。
- 盡可能啟用多因素或生物辨識驗證。
- 注意密碼安全-使用可靠的密碼管理器產生和儲存高強度密碼,並為不同的帳戶設定不同的登入名稱。
- 使用強大的電子郵件掃描軟體來偵測惡意電子郵件和潛在的網路釣魚攻擊。
- 擬定和遵守強大的網路安全策略:留意網路環境並擬定能保護整個組織的全面性網路安全策略。策略內容應要能針對遠端存取、第三方供應商和員工的安全協議。
- 由於被盜的登入憑證可能會在暗網上出售,可使用卡巴斯基數位足跡智慧監控暗網上的資源並及時發現相關威脅
- 遵守最小權限原則,盡量減少持有管理或系統存取權限的人數。
- 進行 RaaS 網路安全和其他潛在威脅的安全意識培訓。
- 除非來源已知且可信,否則請避免點擊電子郵件中的連結,不確定時也可於瀏覽器的搜尋欄中手動輸入網站並前往至該頁面。
當然,即使是最嚴格的保護措施也不一定能阻止勒索軟體攻擊。最壞的情況發生時,仍有一些方式能減輕攻擊所造成的影響。
勒索軟體即服務的持久性威脅
勒索軟體本身就已經是個網路安全問題,但勒索軟體即服務的商業模式使更多潛在的網路犯罪份子無需任何專業知識或知識就能夠發起攻擊,進而增加了惡意軟體的威脅性。由於這些攻擊可能會對目標組織或個人產生嚴重的財務影響,因此了解保護系統避免勒索軟體攻擊的各種方式非常重要。其中許多方式是基本的網路安全守則,但組織團體可能會希望考慮採取進一步的措施,例如:安全培訓和在分開的系統上進行定期備份。
立即使用卡巴斯基專業版 + 1 年免費卡巴斯基兒童安全。卡巴斯基高階版榮獲五項 AV-TEST 獎項,包括最佳保護、最佳效能、最快 VPN、經認證的 Windows 家長控制以及 Android 家長控制最佳評級。
相關產品和服務:
什麼是勒索軟體即服務?
Kaspersky
