人們現(xiàn)在看到RaaS的組織能力可以與最專業(yè)的軟件即服務(SaaS)廠商相媲美。
以下了解勒索軟件即服務的興起和潛在的衰落。在Reveton出現(xiàn)之后,一切都變了。
RaaS在Reveton扎根
Reveton通過向被感染的電腦發(fā)送虛假的警察機構信息進行勒索入侵者甚至冒充美國聯(lián)邦調查局或其他執(zhí)法機構,強迫受害者支付罰款。
據(jù)報道,Reveton的網(wǎng)絡攻擊者每月從受害者那里賺取約40萬美元。當時,Reveton是獨特的勒索軟件即服務,因為它是根據(jù)位置定制的。它似乎來自當?shù)貓?zhí)法機構。
Reveton惡意軟件包將惡意軟件加載到虛假和劫持的網(wǎng)頁中。如果訪問者點擊了受感染的鏈接,惡意軟件就會通過CVE-2012-1723漏洞掃描用戶的設備,以尋找可利用的插件。
惡意軟件還包括信息竊取者,它可以滲透密碼管理平臺竊取憑據(jù)。網(wǎng)絡釣魚活動也會發(fā)送惡意鏈接。最終,Reveton甚至發(fā)展到通過虛假應用下載針對智能手機進行攻擊。
勒索軟件即服務誕生
Reveton的傳播方式非常復雜,該惡意軟件的操作命令在分布在全球各地的數(shù)十臺服務器上使用反向代理。Reveton定期發(fā)布新功能和新定制的贖金信息。這也是第一批要求比特幣支付的勒索軟件攻擊之一。
Reveton最獨特的地方在于它將其惡意軟件包作為一種服務提供給第三方。自從Reveton出現(xiàn)后,其他RaaS團伙也層出不窮。這使得發(fā)動贖金攻擊的工具掌握在更多的網(wǎng)絡攻擊者手中。毫無疑問,RaaS導致了勒索軟件事件的持續(xù)上升。僅在2021年,全球就發(fā)生了6.23億多起勒索攻擊事件。
就像SaaS品牌一樣
勒索軟件即服務是更大的勒索軟件現(xiàn)象的產(chǎn)物,其背后造成的損失是驚人的。2021年,平均一次勒索攻擊的贖金達到81.2萬美元,2020年為17萬美元。2021年,勒索軟件攻擊在全球造成的總損失為200億美元。
勒索軟件即服務(RaaS)還引領了更大的惡意軟件即服務(MaaS)趨勢。就像他們的SaaS對手一樣,MaaS品牌可以有美觀的網(wǎng)站和每月簡報,宣布新功能、定制和升級。一些MaaS品牌有自己的營銷活動、視頻教程、白皮書和Twitter賬戶。
RaaS的客戶可以選擇不同的訂閱級別,例如基本版、專業(yè)版和企業(yè)版。或者,他們可能會支付每次成功勒索軟件攻擊的一定比例贖金。傳統(tǒng)上,要注冊惡意軟件即服務,用戶需要推薦或訪問加密消息或暗網(wǎng)論壇。然而,較新的提供商只要求通過電子郵件設置一個從普通web URL訪問的帳戶。
RaaS需要更多的投入
成功的問題在于它會吸引注意力。這意味著更成功的惡意軟件即服務品牌更有可能吸引執(zhí)法部門的注意。如果勒索軟件攻擊特別引人注目,或涉及關鍵基礎設施,聯(lián)邦和國際機構就會介入。其中一個例子是高調的REvil勒索軟件團伙的垮臺和解散。
隨著RaaS操作的增長,其基礎設施也在增長。具有諷刺意味的是,這也會成為一種負擔,因為勒索軟件攻擊者自己的攻擊面會增長。這意味著更容易被法律權威機構發(fā)現(xiàn)和破壞。因此,RaaS團伙被迫在基礎設施混淆和冗余方面投入更多資金。這反過來又削減了利潤率和用于創(chuàng)新和擴張的資源。
新流體和無品牌的方法
為了應對這些挑戰(zhàn),一些勒索軟件代理采用了更動態(tài)、更低調的策略。例如,勒索軟件團伙Vice Society使用一系列不斷變化的工具,包括勒索軟件變體。美國聯(lián)邦調查局(FBI)和美國中央情報局(CISA)聯(lián)合發(fā)布的一份警告稱,“Vice Society不會使用來源獨特的勒索軟件變體。”
由于執(zhí)法部門的審查力度加大,對勒索軟件的需求可能正在放緩。Vice Society團隊似乎購買了現(xiàn)成的惡意軟件,而不是注冊RaaS訂閱。勒索軟件分支機構在對不同的RaaS工具包進行采樣時變得非常不穩(wěn)定。他們甚至可能根據(jù)泄露的勒索軟件源代碼開發(fā)自己的工具,例如Hello Kitty的源代碼,甚至是Conti泄露的源代碼。
小目標更安全嗎?
這一舉措的另一方面是遠離備受矚目的勒索軟件團伙,其目標是較小的受害者。大多數(shù)攻擊者更喜歡較小的目標,而不是像Colonial Pipeline那樣攻擊大型公司或基礎設施。例如,Vice Society團伙支持攻擊學校和大學,這與大規(guī)模管道規(guī)模的目標相去甚遠。盡管勒索軟件仍然對各種規(guī)模的企業(yè)構成威脅,但員工人數(shù)少于1000人的企業(yè)面臨的風險最大。
在一次罕見的對勒索軟件團伙的采訪中,一名與REvil有關的網(wǎng)絡攻擊者說:“勒索軟件可以攻擊知名目標,但可能挑起一場地緣政治沖突,很快就會被發(fā)現(xiàn)。最好悄悄從中型企業(yè)獲得穩(wěn)定的小額資金。”
有效預防勒索軟件
美國中央情報局(CISA)勒索軟件指南提供了廣泛的建議,以減輕威脅。它的一些高級建議包括:
•維護數(shù)據(jù)的離線備份。
•確保所有備份數(shù)據(jù)都是加密的、不可變的,并覆蓋整個企業(yè)的數(shù)據(jù)基礎設施。
•審查第三方供應商的安全狀況。
•為應用程序和遠程訪問實施列表策略,僅允許系統(tǒng)在已建立的安全策略下執(zhí)行已知和允許的程序。
•記錄和監(jiān)控外部遠程連接。
•實施恢復計劃,在物理上獨立、分段和安全的位置(即硬盤、存儲設備或云平臺)維護和保留敏感或專有數(shù)據(jù)和服務器的多個副本。
美國中央情報局(CISA)還建議實現(xiàn)身份訪問管理(IAM)。這可以包括用于管理身份治理的自動化、基于云的和內部部署的功能。身份訪問管理(IAM)可以管理勞動力和消費者身份/訪問,并提供特權帳戶控制。
Reveton為更廣泛的威脅打開了大門,勒索軟件不會很快消失。因此,企業(yè)最好的網(wǎng)絡安全策略是為可能遭受網(wǎng)絡攻擊做好充分準備。
關于企業(yè)網(wǎng)D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營18個IT行業(yè)公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。
京公網(wǎng)安備 11010502049343號