研究人員聲稱已經發現了目前最大的勒索軟件即服務（RaaS）利潤環。臭名昭著的Cerber勒索軟件通過RAAS模式攻擊目標計算機用戶，每年可獲利約250萬美元。

勒索軟件發展現狀分析

自2005年以來，勒索軟件已經成為最普遍的網絡威脅。根據資料顯示，在過去11年間，勒索軟件感染已經涉及超過7694到6013起數據泄露事故。

多年來，主要有兩種勒索軟件：基于加密和基于locker的勒索軟件。加密勒索軟件通常會加密文件和文件夾、硬盤驅動器等。而Locker勒索軟件則會鎖定用戶設備，通常是基于Android的勒索軟件。

新時代勒索軟件結合了高級分發技術(例如預先建立基礎設施用于快速廣泛地分發勒索軟件)以及高級開發技術(例如使用crypter以確保逆向工程極其困難)。此外，離線加密方法正越來越流行，其中勒索軟件利用合法系統功能(例如微軟的CryptoAPI)以消除命令控制通信的需要。

勒索軟件即服務（RaaS）利潤環

關于RaaS

勒索軟件即服務模式是指，勒索軟件編寫者開發出惡意代碼，并提供給其他犯罪分子(有時通過購買)，讓他們可以通過網絡釣魚或其他攻擊發送給目標用戶。

近日，根據Check Point公司和IntSights的研究報告顯示：Cerber勒索軟件選擇了RAAS模式，即勒索到解鎖服務，同時出租勒索軟件套件給其他騙子作為其下線，感染Cerber之后的電腦需要支付1比特幣(大約是580美元)進行解鎖。據估，僅7月份犯罪分子就已經獲取了大約20萬美元的收益。

Check Point威脅情報部門經理Maya Horowitz表示：

“這些組織已經發展的日益強大，組織有序，精于擴大感染率，發展自身組織規模以及逃避檢測。”

破解RaaS 產業鏈已經不是什么新鮮事了。今年6月，網絡安全情報公司Flashpoint的安全研究人員就發現了一個代銷商組織網絡（affiliate network），其中包含主銷勒索軟件制定者以及簡單的勒索軟件感染專家（主要負責尋找新的受害者）。但是，Horowitz表示：這一最新發現說明RaaS已經發展到了一個新的水平，它可以利用先進的加密貨幣洗錢技術——“比特幣混合（Bitcoin mixing）”加之運轉良好的分銷網絡系統實現運作。

Horowitz介紹稱：比特幣混合（Bitcoinmixing），是RaaS網絡犯罪使用的一種確保勒索收益逃避追蹤的技術。她表示：“比特幣混合服務通過將比特幣發送地址和接收地址的關系打斷，達到無法追蹤的目的。此外，用戶可以在混合過程的最后環節將錢劃分到多個比特幣錢包中。”

Horowitz解釋道：

“雖然攻擊者獲得了所有的勒索收益，但是他們并不希望將所有收益放在一個比特幣錢包中，因此他們采取了混幣服務，混幣服務將錢分散在成百上千的比特幣錢包中，與其他人的錢混合在一起。隨后，攻擊者可以借助比特幣錢包將利潤分配到下線。通過這種形式，任何監視區塊鏈活動的人都無法追蹤到這些錢的來源渠道。”

研究人員表示，勒索軟件的開發者會留下40%的利潤，其余60%的利潤分發給為他們尋找新目標的眾多下線。

研究人員稱，攻擊者正在使用一種CERBER新變種——7月29日發布的“CERBER 2”。Check Point表示，雖然已經進行了更新升級，但仍有針對舊版CERBER勒索軟件和CERBER 2版本的解密工具存在。

自2016年2月首次亮相后，CERBER已經與Magnitude, RIG 以及 Nuclear Pack漏洞利用工具包一起，通過垃圾郵件實現大范圍的傳播。CERBER勒索軟件以其利用計算機揚聲器向受害者傳遞語音信息。Cerber勒索軟件會生成一套VBScript，標題為“# DECRYPT MY FILES #.vbs”，其允許計算機向受害者播放隨機信息。其目前只能朗讀英文，但其使用的解密網站則提供12種語言版本。其播放內容包括“注意！注意！注意！”以及“你的文件、圖片、數據庫以及其它重要文件已經被加密！”

Check Point 和 IntSights公司表示，他們能夠通過監控受感染的端點和被犯罪分子操縱服務器之間的實際C2通信獲得深層智能（deep intelligence）放入CERBER RaaS服務中。

Horowitz稱：

“過去，這種類型的協同攻擊屬于國家性質的攻擊。攻擊者一般是知識豐富且技術熟練的專業人員。現在，自動攻擊工具和RaaS網絡已經將網絡攻擊的覆蓋面不斷擴展。分銷組織可以購買攻擊工具包和租用勒索軟件，不再需要任何技術知識或工具。他們只需要訪問暗網并雇人完成相關服務即可。”

根據Check Point統計，單單在上個月，Cerber勒索軟件在全球超過201個國家感染了超過15萬臺電腦。其中感染人數最多的國家是韓國，美國在目標國家行列中排名第四。

目前，勒索軟件仍然是一個以社會工程學技術和網絡釣魚相結合的普遍性威脅，大家簡單的了解這些現狀后，將有助于企業和個人用戶加強自身數據的安全性。至少，我們必須要做到的是定期備份重要文件。同樣需要強調的是，請大家一定要堅持住，千萬不要直接支付贖金。因為這些黑客很可能會盯上有較強支付能力的同一用戶。最后，請您持續更新系統中的軟件，以避免受到勒索軟件的侵害。