什么是勒索软件即服务（RaaS）

勒索软件即服务RaaS（Ransomware as a Service）是一种网络犯罪商用模式，犯罪组织采用软件即服务（SaaS）商业模式，附属公司付费使用勒索软件运营商开发的勒索软件工具执行勒索软件攻击。攻击者可以控制受害者的计算设备或对数据进行加密，以此要挟受害者支付一定数量的赎金重新取得控制权。随着勒索软件即服务的兴起，RaaS降低了勒索软件攻击的准入门槛，攻击者甚至不需要具备勒索软件开发技能，即可针对目标部署勒索软件。

勒索软件即服务的影响

随着勒索软件即服务（RaaS）的出现，任何个人或团体都可以通过购买RaaS发起攻击。这导致勒索软件攻击事件数量增加，同时也阻碍了执法部门对勒索软件犯罪分子的打击，即使勒索软件开发者被抓获，RaaS其他附属公司仍然可以继续进行犯罪活动。近年来，随着越来越多的RaaS采用双重勒索策略，勒索软件攻击的影响也越来越大，攻击者不仅加密受害者设备上的数据，而且还威胁受害者将数据公开发布，以迫使受害者支付赎金。据报告称，2020年全球勒索软件攻击带来的收入约为200亿美元。其中，近三分之二犯罪组织采用RaaS模式进行攻击。预计到2031年，全球勒索软件造成的损失将达到约2650亿美元。

勒索软件即服务是如何运作的

勒索软件即服务运作原理

勒索软件即服务（RaaS）是犯罪分子使用的基于付费订阅的一种商业模式。勒索软件开发人员负责开发勒索软件负载以及与受害者通信的支付门户，RaaS运营商在论坛或暗网上做广告开展营销活动，招募附属公司。附属公司创建帐户并支付费用（通常使用比特币），获得为特定目标定制的勒索软件服务套件。其中，服务套件包括勒索软件技术支持、捆绑优惠、功能更新、私人论坛信息交流以及与合法SaaS类似的其他功能等。附属公司付款完成后，开始部署勒索软件发起攻击。例如，网络钓鱼电子邮件是最常见的RaaS攻击手段之一。一旦勒索软件运行，受害者的设备将无法使用，数据会被加密。此时，攻击者会向受害者发送消息，要求受害者支付赎金以获得解密密钥。下表为RaaS运营商和附属公司在RaaS模式中扮演角色介绍：

勒索软件即服务收入模型

RaaS运营商有多种不同的业务收入模型，包括：

• 联盟计划：联盟成员支付订阅费用后，RaaS运营商将获得部分利润（通常20%~30%）。
• 每月订阅：每月支付固定费用，无需与RaaS运营商分享利润。
• 一次性许可费：一次性购买RaaS，付款后，即可无限期使用服务，无需与RaaS运营商分享利润。
• 纯利润分享：购买许可证之后，RaaS运营商与附属公司进行利润分配。

勒索软件即服务典型案例

• REvil
  REvil于2019年首次被发现，REvil攻击者在大约三分钟内就可以访问整个网络。该组织主要通过未修补的VPN、漏洞利用工具包、远程桌面协议（RDP）和垃圾邮件等方式进行传播。REvil运营商对附属公司非常挑剔，必须有一定黑客经验的附属公司才能加入。REvil的附属公司负责攻击和访问目标网络，下载有价值的文件并部署实际的勒索软件，而REvil运营商则负责和受害者谈判，勒索赎金。据报道，2021年4月，REvil攻击了苹果公司的一家供应商，并窃取了他们即将推出的产品的机密原理图。

• LockBit
  LockBit于2019年9月首次被发现，是一个著名的网络犯罪集团，该组织以其专业的运营和强大的联盟计划而闻名。2021年6月，LockBit运营商推出了2.0版本，采用双重勒索策略，鼓励受害者首先付费以重新获得对其加密文件的访问权限，然后再次付费以防止其被盗数据被公开发布。2022年6月LockBit运营商推出了3.0版本，主要通过第三方获取访问凭证、漏洞利用和搭载其他恶意软件等方式进行传播。据报道，2022年第三季度末，针对工业企业和基础设施的勒索软件攻击中有三分之一与LockBit有关。

• DarkSide
  DarkSide于2020年8月首次被发现，是一个较大网络犯罪黑客组织。DarkSide运营商向其附属公司授予勒索软件的访问权限，还提供为特定目标定制的访问管理面板。作为回报，DarkSide运营商会获得一定比例的赎金（一般50万美元以下的赎金，抽取25%；500万美元以上的赎金，抽取10%）。据报道，2021年5月7日，DarkSide对某国石油管道系统殖民地管道发起勒索攻击，影响了管理管道的计算机设备，几小时内勒索了440万美元。

• Hive
  Hive于2021年首次出现，在过去几年Hive参与了大约1300起勒索软件攻击，勒索了数百万美元。该组织主要通过第三方获取访问凭证、漏洞利用和RDP暴力破解等方式进行传播，并利用Microsoft Exchange Server相关漏洞实现勒索攻击。据报道，2023年1月，相关执法部门通过扣押该组织的两台后端服务器来中断Hive运营。

华为如何帮助您抵御勒索软件即服务

近年来，勒索软件即服务（RaaS）已经成为全球企业所面临的主要网络安全威胁之一。一旦被攻击，企业运营将受到严重影响，华为产品能够帮助您很好地应对勒索软件带来的危害。

• MRP: 多层联动勒索攻击防护
  华为首创网存联动的MRP技术，助力客户构筑“网络+存储”数字安全双重保护，网络保护精准识别病毒，阻断威胁横向扩散，存储保护构建数据安全最后一道防线，保证业务可恢复，网络与存储联动处置，实现“识别准、防护全、恢复快”三个核心能力，有效保护客户数据安全。

• USG6000F系列AI防火墙
  USG6000F系列AI防火墙提供应用识别、入侵防御（IPS）、反病毒、URL过滤及邮件过滤等内容安全相关的功能，有效保证内网服务器和用户免受威胁的侵害。

• HiSec Insight安全态势感知系统
  HiSec Insight能够通过上网流量检测出包含恶意附件的恶意邮件，并对于发现的攻击通过设备联动快速阻断和遏制。

• 华为乾坤安全云服务解决方案
  华为乾坤防勒索解决方案采用云边端一体的创新架构，构建了以资产为核心的纵深防御体系，针对勒索软件攻击链特征，实现对勒索事件的层层防护，全方位保障企业网络安全。