25 家勒索軟件即服務：勒索軟件業務 “興旺發達”

超過25家勒索軟件即服務（RaaS）門戶網站正為其他犯罪組織提供勒索軟件租賃服務。

圖：黑客論壇上的勒索軟件即服務（RaaS）廣告

勒索軟件即服務是一個網絡安全術語，指通過專用門戶網站或黑客論壇帖子將勒索軟件出租給其他組織的犯罪團伙。

RaaS門戶網站為其他犯罪團伙提供現成的勒索軟件代碼。這些團伙通常稱為RaaS客戶或會員，他們租用勒索軟件代碼，通過RaaS提供的選項定制這些代碼，然后選種方式在現實世界攻擊中加以部署。

RaaS會員采用的方法多種多樣，包括魚叉式電子郵件攻擊、大規模無差別垃圾郵件投放、利用被盜遠程桌面協議（RDP）憑證獲取企業網絡訪問權限，或者利用網絡設備漏洞訪問內部企業網絡。

無論會員如何感染受害者，此類勒索軟件攻擊中收獲的贖金都會流向RaaS團伙，抽成一小部分后轉給會員。

RaaS產品自2017年起便一直存在，且廣為流傳。借助此類產品，非技術流犯罪團伙即使不知道怎樣編碼，不懂得如何處理高級密碼學概念，也能傳播勒索軟件。

RaaS層級

11月16日，網絡犯罪情報公司Intel 471發布報告稱，目前大約有25種RaaS產品在地下黑客市場掛牌出售。

盡管有些勒索軟件犯罪團伙并未采取將“產品”出租給其他組織的運作方式，但當今市面上的RaaS門戶數量遠遠超過了許多安全專家的認知，犯罪團伙但凡想要試水勒索軟件攻擊，可利用的勒索軟件服務十分豐富。

但并非所有RaaS產品都具備相同的功能。一直以來，Intel 471根據RaaS的復雜程度、功能和有據可查的攻擊記錄，將RaaS服務分為三個層級。

第一層級是當今最著名的勒索軟件運營業務。要被歸類為第一層級的RaaS，運營必須持續數月之久，通過大量攻擊案例證明代碼的可行性，且即使遭遇公開曝光也可以繼續運營。

REvil、Netwalker、DopplePaymer、Egregor（Maze）和Ryuk等就歸屬第一層級的RaaS。

除Ryuk以外，所有第一層級的RaaS運營商還經營專門的“泄露站點”，作為運作良好的勒索聯盟的一部分，用來點名羞辱受害者。

取決于所招募會員的類型，這些團伙還會采用各種各樣的入侵方式。可以利用網絡設備中的漏洞（通過聘請網絡專家）來破壞網絡，可以將勒索軟件有效載荷釋放在已經被其他惡意軟件感染的系統上（通過與其他惡意軟件組織合作），或者通過RDP連接訪問公司網絡（通過與暴力僵尸網絡運營商或銷售商合作，或利用被盜RDP憑證）。

第二層級的RaaS門戶已在地下黑客界享有一定聲譽，向客戶提供高級勒索軟件服務，但尚未達到第一層級運營商的會員數量與攻擊規模。

此類RaaS運營商包括Avaddon、Conti、Clop、DarkSide、Mespinoza（Pysa）、RagnarLocker、Ranzy（Ako）、SunCrypt和Thanos，都是勒索軟件世界的后起之秀。

第三層級是新設立的RaaS門戶或產品，只有有限的信息可查，或者根本沒有相關信息。某些情況下，這些門戶或產品是否健在都尚未可知，或許其締造者在嘗試失敗之后就放棄了。

目前歸屬這一層級的有CVartek.u45、Exorcist、Gothmog、Lolkek、Muchlove、Nemty、Rush、Wally、Xinof、Zeoticus和（后來的）ZagreuS。

總而言之，盡管通過犯罪活動創造利潤，但地下網絡犯罪生態系統仍然是一個市場，就像所有市場一樣，受到主宰當今任何其他市場的共同原則的支配。

大量的服務提供商是經濟蓬勃發展的明顯標志，表明這一市場遠未達到飽和。只有當犯罪團伙創建的RaaS門戶網站數量超過愿意注冊的會員數量之時，或者公司企業加強安全措施，使入侵行為難以實施，騙子所獲利潤日漸枯竭之時，RaaS市場才會飽和。