近半年來(lái)，RaaS(勒索軟件即服務(wù))正在成為勒索軟件的一個(gè)熱門趨勢(shì)。大量勒索軟件團(tuán)伙正在積極拓展RaaS業(yè)務(wù)，尋找“加盟機(jī)構(gòu)”，分工協(xié)作并分享勒索軟件攻擊獲得的利潤(rùn)。

[[353683]]

很多人認(rèn)為RaaS就是一種勒索軟件租賃服務(wù)，攻擊實(shí)施者會(huì)付費(fèi)使用RaaS團(tuán)伙提供的惡意軟件。事實(shí)上，租賃服務(wù)只是RaaS的冰山一角，而且以這種方式出租或出售的通常都是質(zhì)量最差的勒索軟件。

比較著名的勒索軟件團(tuán)伙通常會(huì)采用私人會(huì)員計(jì)劃，外圍攻擊者可以在會(huì)員論壇中提交簡(jiǎn)歷以申請(qǐng)會(huì)員資格。

對(duì)于被接納的會(huì)員，每次成功的勒索軟件攻擊后，可以分得贖金的70%-80%， 勒索軟件開(kāi)發(fā)人員則可獲得20%至30%的傭金。(編者：類似REvil這樣的“大牌”勒索軟件團(tuán)伙甚至?xí)跁?huì)員論壇的加密貨幣錢包地址中打入高達(dá)上百萬(wàn)美元的“保證金”)

REvil的私人會(huì)員計(jì)劃條款

為了對(duì)受害者的系統(tǒng)進(jìn)行加密，會(huì)員組織會(huì)雇傭黑客提供服務(wù)，這些黑客可以訪問(wèn)目標(biāo)網(wǎng)絡(luò)、獲得域管理員特權(quán)、收集并竊取文件，然后將獲得訪問(wèn)所需的所有信息傳遞給會(huì)員組織并對(duì)其進(jìn)行加密。

每次攻擊后，贖金利潤(rùn)通常會(huì)平均分配給RaaS小組，入侵網(wǎng)絡(luò)的黑客和勒索軟件會(huì)員。

勒索軟件RaaS的三大集團(tuán)

目前，有超過(guò)二十個(gè)活躍的RaaS團(tuán)伙幫派正在積極尋求將勒索攻擊外包給勒索軟件“加盟”公司。

正如威脅情報(bào)公司Intel 471在近日發(fā)布的一份報(bào)告中所言，“一些知名的勒索軟件團(tuán)伙結(jié)成了緊密而秘密的犯罪圈子，通過(guò)直接和私密的通訊方式聯(lián)系，外人難以覺(jué)察。”

根據(jù)過(guò)去一年中對(duì)勒索軟件團(tuán)伙的監(jiān)測(cè)，Intel 471按照知名度和活躍時(shí)間長(zhǎng)度，將勒索軟件團(tuán)伙分為三大集團(tuán)(層級(jí))：

• 已經(jīng)成為勒索軟件代名詞的主流團(tuán)伙;
• 老樹(shù)開(kāi)新花，復(fù)活的變體;
• 具備“篡位”潛力的全新變體。

第一集團(tuán)的勒索軟件團(tuán)伙都是在過(guò)去幾年中成功獲得數(shù)億勒索贖金的組織。

他們中的絕大多數(shù)還使用了除加密數(shù)據(jù)外的其他勒索方法，例如從受害者的網(wǎng)絡(luò)中竊取敏感信息，并威脅要泄漏這些信息。(編者：甚至有安全專家指出，企業(yè)刪除泄露數(shù)據(jù)繳納的勒索贖金有可能超過(guò)解密數(shù)據(jù)的贖金，成為勒索軟件團(tuán)伙的主要收入。)

第一集團(tuán)的RaaS團(tuán)伙包括：

• DopplePaymer(用于攻擊Pemex、BretagneTélécom、紐卡斯?fàn)柎髮W(xué)、杜塞爾多夫大學(xué))、Egregor(Crytek、Ubisoft、Barnes&Noble);
• Netwalker/Mailto(Equinix、UCSF、密歇根州立大學(xué)、收費(fèi)小組);
• REvil/Sodinokibi(Travelex、紐約機(jī)場(chǎng)、德克薩斯州地方政府)。

Ryuk在排名中名列前茅，在去年，大約有三分之一的勒索軟件攻擊中檢測(cè)到了其有效載荷。

Ryuk還因使用Trickbot、Emotet和BazarLoader感染媒介將其有效載荷作為多階段攻擊的一部分而聞名，可以輕松地進(jìn)入目標(biāo)網(wǎng)絡(luò)。

此外，Ryuk的分支機(jī)構(gòu)還長(zhǎng)期對(duì)美國(guó)醫(yī)療保健系統(tǒng)發(fā)起大規(guī)模攻擊，并要求巨額贖金支付，今年初已從一名受害者那里收割了3400萬(wàn)美元贖金。

第二集團(tuán)(復(fù)活組)的RaaS組織在2020年逐漸發(fā)展為數(shù)量更多的會(huì)員制連鎖組織，并參與了多起攻擊。

屬于第二集團(tuán)的勒索軟件包括：SunCrypt、Conti、Clop、Ragnar Locker、Pysa/Mespinoza、Avaddon、DarkSide(可能是來(lái)自REvil的一個(gè)分支)等等。

正如第一集團(tuán)的勒索軟件團(tuán)伙一樣，他們也將數(shù)據(jù)泄露勒索用作輔助勒索方法。

第三集團(tuán)(新興組)的RaaS團(tuán)伙向會(huì)員分發(fā)全新開(kāi)發(fā)的勒索軟件，但是根據(jù)Intel 471的說(shuō)法，“目前安全業(yè)界對(duì)于此類勒索軟件的成功攻擊、攻擊數(shù)量、斬獲贖金金額以及緩解成本知之甚少。”

第三集團(tuán)勒索軟件團(tuán)伙包括Nemty、Wally、XINOF、Zeoticus、CVartek.u45、Muchlove、Rush、Lolkek、Gothmog和Exorcist。

其他活躍的RaaS團(tuán)體

除了英特爾471關(guān)注的勒索軟件團(tuán)伙外，還有很多其他新興的RaaS團(tuán)隊(duì)。

例如，Dharma是一款資深RaaS，自2017年以來(lái)就一直存在，不少業(yè)界人士認(rèn)為它是Crysis的勒索軟件的分支，后者于2016年開(kāi)始運(yùn)行。

Dharma不使用數(shù)據(jù)泄漏站點(diǎn)，也沒(méi)有關(guān)于數(shù)據(jù)被盜的廣泛報(bào)道。他們的會(huì)員收取的贖金從數(shù)千美元到數(shù)十萬(wàn)美元不等。

于2019年9月出現(xiàn)的LockBit是另一個(gè)備受矚目的RaaS業(yè)務(wù)，針對(duì)私營(yíng)企業(yè)，后來(lái)又被Microsoft觀察到攻擊醫(yī)療和關(guān)鍵服務(wù)。

值得注意的是，LockBit團(tuán)伙與Maze聯(lián)手創(chuàng)建了一個(gè)勒索卡特爾組織，在攻擊過(guò)程中共享數(shù)據(jù)泄漏平臺(tái)并交換戰(zhàn)術(shù)和情報(bào)，大大提高了攻擊效率。LockBit勒索軟件參與者在獲得對(duì)受害者網(wǎng)絡(luò)的訪問(wèn)權(quán)限后，只需花費(fèi)五分鐘即可部署有效負(fù)載。

其他Intel 471報(bào)告中沒(méi)有提及的勒索軟件還包括：Ragnarok、CryLock、ProLock、Nefilim和Mount Locker，這些都是活躍的勒索軟件，參與過(guò)近期的一些攻擊。