勒索軟體即服務：工業化網路犯罪的新面貌

勒索軟體即服務模式促進了能力較弱的罪犯可以完成的快速改進和產業化。過去，這些不太老練的罪犯可能使用他們構建或購買的商用惡意軟體來執行範圍有限的攻擊，但現在他們可從自己的 RaaS 運營商那裡獲得所需的一切——從訪問網路到勒索軟體有效承載（當然是有償的）。許多 RaaS 計劃進一步整合了一套勒索支援產品，包括洩漏網站託管和積分到贖金票據中，以及解密談判、支付壓力和加密貨幣交易服務。

這意味著無論攻擊者的技能如何，成功的勒索軟體和勒索攻擊的影響都保持不變。

RaaS 運營商為其關係企業提供價值的一種方式是提供對遭入侵網路的存取。存取訊息代理程式掃描互聯網以查找易受攻擊的系統，他們可以破壞並保留這些系統以備日後獲利。

為了大功告成，攻擊者需要登入資訊。洩露的憑據對這些攻擊非常重要，以至於當網路罪犯出售網路存取權限時，在許多情況下，其價格包括一個有保證的系統管理員帳戶。

一旦取得，罪犯對存取權限的處理方式可能會因群組及其工作負載或動機而有很大差異。因此，從最初接觸到實際操作鍵盤之間的间隔可能從幾分鐘到幾天甚至更長，但只要情況允許，就能以極快的速度造成破壞。事實上，據觀察，從初始存取到全額贖金（包括從存取訊息代理程式移交給 RaaS 關係企業）的時間不到一個小時。

一旦攻擊者獲得網路存取權限，他們就不願意離開——即使在收取贖金后也是如此。事實上，支付贖金可能不會降低受影響網路的風險，而且可能只會為網路罪犯提供資金，他們將繼續嘗試使用不同的惡意軟體或勒索軟體有效承載，通過攻擊獲利，直到被驅逐。

隨著網路犯罪經濟的轉變，不同攻擊者之間發生的交接意味著，多個活動群組可能會使用與勒索軟體攻擊中使用的工具不同的各種方法在環境中持續存在。例如，通過銀行特洛伊木馬程式獲得的初始存取權限會導致 Cobalt Strike 部署，但購買該訪問許可權的 RaaS 關係企業可能會選擇使用遠端存取工具（如 TeamViewer）來操作其活動。

使用合法工具和設置來持久化惡意軟體植入程式（例如 Cobalt Strike）是勒索軟體攻擊者中一種流行的技術，可以避免偵測並在網路中停留更長時間。

另一種流行的攻擊者技術是創建新的後門程式使用者帳戶（無論是本地的還是在有效目錄資訊中），然後可以將這些帳戶添加到虛擬專用網路 （VPN） 或遠端桌面等遠端存取工具中。還可觀察到勒索軟體攻擊者編輯系統上的設定，啟用遠端桌面、降低通訊協定的安全性以及將新使用者添加到遠端桌面使用者群組。

RaaS 威脅之所以如此令人擔憂，是因為它依賴於人類攻擊者，而人類攻擊者可以根據他們在網絡中發現的情況，做出經過深思熟慮的明智決定，並改變攻擊模式，以確保達成其目標。

Microsoft Corporation 創造了「人為操作的勒索軟體」一詞，將此類攻擊定義為最終導致勒索軟體承載的活動鏈，而不是要阻止的一組惡意軟體承載。

雖然大多數初始存取活動都依賴於自動偵察，但一旦攻擊轉移到動手鍵盤階段，攻擊者將利用他們的知識和技能來嘗試擊敗環境中的安全性產品。

勒索軟體攻擊者的動機是輕鬆獲利，因此，透過強化安全性來增加其成本，會是阻斷網路犯罪經濟的重要關鍵。這種人為決策意味著，即使安全性產品檢測到特定的攻擊階段，攻擊者本身也不會被完全驅逐；如果沒有被安全性控制阻止，攻擊者會嘗試繼續。在許多情況下，如果防病毒產品檢測到並阻止了某個工具或有效承載，攻擊者只需獲取其他工具或修改其有效承載即可。

攻擊者還了解安全運營中心 （SOC） 的回應時間以及偵測工具的功能和限制。當攻擊達到刪除備份或陰影副本的階段時，距離勒索軟體部署只有幾分鐘的時間。攻擊者可能已經執行了有害動作，例如資料洩露。這些知識對於 SOC 回應勒索軟體至關重要：在勒索軟體部署階段之前調查 Cobalt Strike 等偵測結果，並執行快速補救行動和事件回應 （IR） 程式，對於遏制人類對手至關重要。