在采訪中，WithSecure的威脅情報與外聯總監Tim West討論了勒索軟件即服務（RaaS），重點分析了這些網絡犯罪活動如何適應日益激烈的競爭、結構變化以及分散的生態系統。

West探討了這些變化對受影響行業，特別是工程和制造業的影響，并深入分析了勒索軟件行為者日益依賴“雙重用途”工具的趨勢。

勒索軟件即服務（RaaS）的格局如何演變？我們是否看到這些運營的結構或吸引的附屬群體發生了變化？

我們確實看到了競爭的加劇，特別是在知名品牌為了吸引附屬成員而展開激烈競爭。隨著 LockBit和 ALPHV等著名團伙的倒臺，許多附屬群體變得“游牧化”，尋求新的RaaS組織來結盟，這使得生態系統內的競爭加劇，不同的RaaS品牌通過提供更有吸引力的條件、更好的工具和更可靠的支付來吸引這些有經驗的操作員。

較小的團伙如 Medusa和 Cloak提供了具有吸引力的激勵措施，吸引解散組織的附屬成員。例如，Medusa向 LockBit和 ALPHV的附屬成員提供高達90%的利潤分成，而 Cloak則允許附屬成員免費加入，不需任何初始支付。

從結構上看，許多勒索軟件運營已經轉向了更模塊化和分散化的模式。現在，許多成功的RaaS模型可以被視為松散關聯的網絡，而不是一個單一的垂直整合的團伙處理整個攻擊鏈。 

不同的團伙專注于攻擊的特定階段，例如初始訪問、橫向移動或勒索，這種角色的分離使歸因變得更加復雜，并增強了生態系統在面對執法行動等干擾時的恢復能力。

在RaaS生態系統中，初始訪問經紀人（IAB）的角色也發生了變化，這些IAB資金雄厚，能力強大，通過提供可靠且可擴展的訪問權限來支持各種惡意行為者。

這些行為者將全球范圍的漏洞利用過程工業化，降低了勒索軟件運營者的進入門檻。IAB專注于發現、武器化和出售對易受攻擊系統的訪問權限，他們處理漏洞利用的復雜性，繞過過濾器，并管理大規模的掃描和漏洞利用操作，這種服務模式現在使勒索軟件的附屬成員無需深厚的技術知識就能購買現成的訪問權限。

針對工程和制造業的勒索軟件似乎在增加。這對這些行業意味著什么？為什么它們會成為特別有吸引力的目標？

我們最新的研究顯示，在2024年上半年，工程和制造業是受影響最嚴重的行業，占觀察到的所有受害者的20.59%，這些行業在遭受干擾時的高運營影響使它們成為有吸引力的目標。停機時間會導致巨大的財務損失、錯過的截止日期，甚至是合同處罰。時間緊迫的生產計劃增加了他們迅速支付贖金以恢復運營的壓力。 

雖然大多數RaaS行為者傾向于利用漏洞和機會，而不是針對特定行業，但復雜的供應鏈使得這些行業的網絡安全運營變得更加困難。工程和制造業與多個供應商、合作伙伴和客戶緊密相連。對單一實體的成功攻擊可能會對整個供應鏈產生連鎖反應，放大攻擊的影響，這種互聯性增加了勒索軟件團伙在談判時的籌碼，因為長期停機的后果遠遠超出了直接受害者。

專有數據和知識產權（IP），包括設計、藍圖和商業機密，對保持競爭優勢至關重要，因此也是極具價值的盜竊或出售資產。

 我們還發現，勒索軟件團伙正逐漸放棄之前避免攻擊關鍵行業（如醫療保健）的做法。從社會影響的角度來看，這些攻擊通常更加嚴重。過去，勒索軟件團伙大多避免針對那些可能引發嚴厲政府或執法機構反應的行業。雖然2024年整體醫療保健行業遭受的攻擊數量與總受害者比例保持一致。

勒索軟件團伙將無差別地攻擊任何被認為有能力支付贖金的組織，此外，這些行業在網絡安全方面的歷史性投入相對較少，尤其是與金融或技術行業相比，使它們成為有吸引力的目標。

勒索軟件行為者之間的信任似乎正在減弱。這樣的不信任會如何影響勒索軟件生態系統，是否會導致更多的碎片化或去中心化運營？

我們經常聽到“盜賊之間沒有誠信”這個說法，最近的一些勒索軟件事件確實顯示了這一點。我們最近看到ALPHV發生了“跑路騙局”（exit scam），據稱其附屬成員的收益被欺詐事件剝奪了。因此，類似的事件和對LockBit等大團伙的打擊，可能正在引發網絡犯罪社區中的不信任感和緊張局勢加劇。

隨著信任的瓦解，我們可能會看到勒索軟件生態系統的進一步碎片化。忠誠的附屬成員可能會分裂出來，創建自己的品牌，或轉向他們認為更可靠的其他團伙，這種分裂可能導致出現規模較小、不太可預測的勒索軟件集體。

我們可能會看到直接的1對1品牌重塑，就像DarkSide在2021年對Colonial Pipeline攻擊后重塑為BlackMatter一樣，然而，我們也在看到1對多的重塑變得更為突出，即一個變種的附屬成員可能衍生出多個新品牌。例如，8base和Faust勒索軟件變種可能都源于同一個變種。

無論是哪種形式的分裂和去中心化，這都使得執法機構更難以針對特定團伙，因為傳統的層級模型正讓位于更靈活、分散的行為者網絡。同時，從防御者的角度來看，網絡犯罪分子之間的不信任實際上是有利的，因為這可能使他們的效率和效果下降，從而更容易進行防御。

勒索軟件行為者越來越多地使用“雙重用途”工具，這使得檢測和應對變得更加復雜。安全團隊應如何調整策略，更好地識別和緩解這些工具帶來的威脅？

我們發現RaaS行為者常用的工具包括PDQ Connect、Action1、AnyDesk和TeamViewer等用于遠程訪問的工具，以及rclone、rsync、Megaupload和FileZilla等用于數據外泄的工具，這些都是在IT操作中常用的合法軟件，因此其雙重用途性質使得它們能夠規避傳統的反惡意軟件控制，并輕松融入正常的網絡活動中，增加了檢測和應對的難度。傳統的基于簽名的檢測方法對這些雙重用途工具的效果較差。

安全團隊應轉向行為分析，專注于識別異常或可疑的行為模式，而不僅僅依賴于已知的惡意軟件簽名。例如，如果TeamViewer這類通常無害的工具在非工作時間或從異常IP地址進行使用，這可能表明存在惡意活動。

為組織中的雙重用途工具建立正常活動基線至關重要。通過了解這些工具的典型使用模式，安全團隊可以更有效地發現可能表明工具被濫用的偏差。例如，如果rclone工具突然被用于將大量數據傳輸到一個不熟悉的外部服務器，盡管該工具本身是合法的，但這仍然應觸發警報。

暴露管理解決方案也可以發揮關鍵作用，這些技術為安全團隊提供了跨越其擴展網絡的全面可視性，幫助識別易受攻擊的系統、配置錯誤或可能通過合法工具被利用的高風險資產。

勒索軟件行為者優先考慮數據盜竊而非傳統的加密攻擊的趨勢日益明顯，這種變化對組織的風險格局有何影響？他們的防御措施應關注哪些方面？

高價值數據（如知識產權、財務記錄和客戶信息）的盜竊為網絡犯罪分子在勒索談判中提供了強大的優勢。組織還可能面臨因客戶信任喪失、監管處罰和聲譽受損而帶來的長期損害。

網絡犯罪分子發現，專注于數據盜竊比在整個組織范圍內部署全面加密所需的時間和資源要少，這種“快攻速取”方式讓攻擊者能夠迅速執行攻擊并轉向下一個目標，從而提高了他們的整體效率。

要防御這些策略，必須緊急關注數據保護。關鍵優先事項包括識別并保護敏感數據、實施嚴格的訪問控制，以及持續監控可疑的數據訪問和外泄活動。

此外，為靜態和傳輸中的數據實施加密可以降低被盜數據的價值。如果勒索軟件行為者設法竊取了數據，已加密的數據在沒有相應的解密密鑰的情況下仍然是不可讀且無法使用的。 

同時，傳統的勒索軟件加密防御措施（如備份策略和網絡分段）依然重要。

企業還應確保其事件響應計劃能夠應對數據盜竊帶來的獨特挑戰，這包括為潛在的雙重勒索場景做好準備，并能夠妥善應對與客戶和其他利益相關者的溝通和管理。

總體而言，企業必須加強對數據安全的關注，并為更復雜的勒索場景做好準備。那些具備強大暴露管理和成熟安全工具、專注于遏制漏洞的企業，將能夠更好地應對這些不斷演變的威脅。