Reveton勒索軟件出現在2012年，它被認為是有史以來第一個勒索軟件即服務(RaaS)。從那時起，RaaS使擁有基本技術技能的網絡攻擊團伙能夠無差別地發動攻擊。現在，幾乎任何人都可以創建高效的惡意軟件活動。

人們現在看到RaaS的組織能力可以與最專業的軟件即服務(SaaS)廠商相媲美。

以下了解勒索軟件即服務的興起和潛在的衰落。在Reveton出現之后，一切都變了。

RaaS在Reveton扎根

Reveton通過向被感染的電腦發送虛假的警察機構信息進行勒索入侵者甚至冒充美國聯邦調查局或其他執法機構，強迫受害者支付罰款。

據報道，Reveton的網絡攻擊者每月從受害者那里賺取約40萬美元。當時，Reveton是獨特的勒索軟件即服務，因為它是根據位置定制的。它似乎來自當地執法機構。

Reveton惡意軟件包將惡意軟件加載到虛假和劫持的網頁中。如果訪問者點擊了受感染的鏈接，惡意軟件就會通過CVE-2012-1723漏洞掃描用戶的設備，以尋找可利用的插件。

惡意軟件還包括信息竊取者，它可以滲透密碼管理平臺竊取憑據。網絡釣魚活動也會發送惡意鏈接。最終，Reveton甚至發展到通過虛假應用下載針對智能手機進行攻擊。

勒索軟件即服務誕生

Reveton的傳播方式非常復雜，該惡意軟件的操作命令在分布在全球各地的數十臺服務器上使用反向代理。Reveton定期發布新功能和新定制的贖金信息。這也是第一批要求比特幣支付的勒索軟件攻擊之一。

Reveton最獨特的地方在于它將其惡意軟件包作為一種服務提供給第三方。自從Reveton出現后，其他RaaS團伙也層出不窮。這使得發動贖金攻擊的工具掌握在更多的網絡攻擊者手中。毫無疑問，RaaS導致了勒索軟件事件的持續上升。僅在2021年，全球就發生了6.23億多起勒索攻擊事件。

就像SaaS品牌一樣

勒索軟件即服務是更大的勒索軟件現象的產物，其背后造成的損失是驚人的。2021年，平均一次勒索攻擊的贖金達到81.2萬美元，2020年為17萬美元。2021年，勒索軟件攻擊在全球造成的總損失為200億美元。

勒索軟件即服務(RaaS)還引領了更大的惡意軟件即服務(MaaS)趨勢。就像他們的SaaS對手一樣，MaaS品牌可以有美觀的網站和每月簡報，宣布新功能、定制和升級。一些MaaS品牌有自己的營銷活動、視頻教程、白皮書和Twitter賬戶。

RaaS的客戶可以選擇不同的訂閱級別，例如基本版、專業版和企業版。或者，他們可能會支付每次成功勒索軟件攻擊的一定比例贖金。傳統上，要注冊惡意軟件即服務，用戶需要推薦或訪問加密消息或暗網論壇。然而，較新的提供商只要求通過電子郵件設置一個從普通web URL訪問的帳戶。

RaaS需要更多的投入

成功的問題在于它會吸引注意力。這意味著更成功的惡意軟件即服務品牌更有可能吸引執法部門的注意。如果勒索軟件攻擊特別引人注目，或涉及關鍵基礎設施，聯邦和國際機構就會介入。其中一個例子是高調的REvil勒索軟件團伙的垮臺和解散。

隨著RaaS操作的增長，其基礎設施也在增長。具有諷刺意味的是，這也會成為一種負擔，因為勒索軟件攻擊者自己的攻擊面會增長。這意味著更容易被法律權威機構發現和破壞。因此，RaaS團伙被迫在基礎設施混淆和冗余方面投入更多資金。這反過來又削減了利潤率和用于創新和擴張的資源。

新流體和無品牌的方法

為了應對這些挑戰，一些勒索軟件代理采用了更動態、更低調的策略。例如，勒索軟件團伙Vice Society使用一系列不斷變化的工具，包括勒索軟件變體。美國聯邦調查局(FBI)和美國中央情報局(CISA)聯合發布的一份警告稱，“Vice Society不會使用來源獨特的勒索軟件變體。”

由于執法部門的審查力度加大，對勒索軟件的需求可能正在放緩。Vice Society團隊似乎購買了現成的惡意軟件，而不是注冊RaaS訂閱。勒索軟件分支機構在對不同的RaaS工具包進行采樣時變得非常不穩定。他們甚至可能根據泄露的勒索軟件源代碼開發自己的工具，例如Hello Kitty的源代碼，甚至是Conti泄露的源代碼。

小目標更安全嗎?

這一舉措的另一方面是遠離備受矚目的勒索軟件團伙，其目標是較小的受害者。大多數攻擊者更喜歡較小的目標，而不是像Colonial Pipeline那樣攻擊大型公司或基礎設施。例如，Vice Society團伙支持攻擊學校和大學，這與大規模管道規模的目標相去甚遠。盡管勒索軟件仍然對各種規模的企業構成威脅，但員工人數少于1000人的企業面臨的風險最大。

在一次罕見的對勒索軟件團伙的采訪中，一名與REvil有關的網絡攻擊者說:“勒索軟件可以攻擊知名目標，但可能挑起一場地緣政治沖突，很快就會被發現。最好悄悄從中型企業獲得穩定的小額資金。”

有效預防勒索軟件

美國中央情報局(CISA)勒索軟件指南提供了廣泛的建議，以減輕威脅。它的一些高級建議包括：

• 維護數據的離線備份。
• 確保所有備份數據都是加密的、不可變的，并覆蓋整個企業的數據基礎設施。
• 審查第三方供應商的安全狀況。
• 為應用程序和遠程訪問實施列表策略，僅允許系統在已建立的安全策略下執行已知和允許的程序。
• 記錄和監控外部遠程連接。
• 實施恢復計劃，在物理上獨立、分段和安全的位置(即硬盤、存儲設備或云平臺)維護和保留敏感或專有數據和服務器的多個副本。

美國中央情報局(CISA)還建議實現身份訪問管理(IAM)。這可以包括用于管理身份治理的自動化、基于云的和內部部署的功能。身份訪問管理(IAM)可以管理勞動力和消費者身份/訪問，并提供特權帳戶控制。

Reveton為更廣泛的威脅打開了大門，勒索軟件不會很快消失。因此，企業最好的網絡安全策略是為可能遭受網絡攻擊做好充分準備。