勒索軟體即服務不斷增加,使得較不複雜的使用者比以往更容易部署有效的勒索軟體活動。您的組織在未來一年成為目標的可能性從未如此高。
想像有一天會開始運作,您公司的 ERP 系統已經無法運作。銷售部門無法受理訂單,倉庫團隊也沒有運送現有訂單所需的資訊。您的公司遭受勒索軟體攻擊。隨著期限即將到來,而且沒有乾淨的備份,您面臨了艱難的決定:支付攻擊者或風險損失您的任務關鍵資料。即使您的組織有乾淨的備份,您仍可能會在幾天甚至數週內將正常作業還原至您最重要的應用程式。
Gartner 表示,2024 年勒索軟體的非法市場超過 8 億美元。根據保險公司 Travelers 的調查,2024 年攻擊數量增加了 15%。新的網路犯罪商業模式,稱為勒索軟體即服務(RaaS),讓鎖定勒索軟體受害者變得比以往更加容易,並加速已經普遍的問題。
勒索軟體即服務可讓非技術罪犯發動複雜的勒索軟體攻擊,降低網路犯罪進入的障礙,並大幅增加整體威脅等級。了解 RaaS 的運作方式及防禦方式,對於任何尋求保護的組織而言都至關重要。
什麼是勒索軟體即服務?
勒索軟體即服務是一種相對較新的犯罪商業模式,在這種模式下,精密的駭客會將其軟體提供給附屬機構,由附屬機構進行攻擊並分割收益。
為了建立並部署傳統勒索軟體,駭客必須擁有相當高水準的技術專業知識。相反地,RaaS 提供了現成的產品,其中包含攻擊者可能需要的所有產品,並封裝在易於使用的介面中。這些套件常在暗網論壇或加密的市集上架,包括儀表板、支援管道和支付處理,為不精密的網路犯罪分子提供從保護不良的企業中勒索金錢所需的一切。
RaaS 採用利潤分享商業模式,為缺乏經驗的駭客開啟進入遊戲的大門,讓勒索軟體成為比以往更普遍且持續的威脅。
勒索軟體即服務的運作方式
典型的 RaaS 作業涉及兩方:建立勒索軟體的軟體開發人員,以及使用該惡意軟體發動攻擊的關聯組織。
勒索軟體開發人員建立並維護勒索軟體的有效負載、基礎架構和命令控制伺服器。這些組織擁有高水準的技術專業知識,並擁有管理和維護複雜系統的資源。相反地,關係企業可以單純將精力集中在辨識目標、利用漏洞,以及執行攻擊。
以下是 RaaS 攻擊的展開方式:
- 訂閱:關係企業訂閱 RaaS 平台,通常每月付費或按百分比計費的收益分享模式。
- 客製化:關係企業可透過設定特定贖金金額、選擇他們偏好的受害者攻擊方式,以及量身打造贖金等通訊,來自訂勒索軟體的有效負載。
- 部署:然後部署 RaaS 型勒索軟體,通常使用網路釣魚、遭入侵的網站或遠端桌面攻擊等技術。
- 感染與加密:一旦勒索軟體入侵了目標的系統,它就會加密有價值的資料,鎖定使用者,並提供勒索訊息。
- 付款與利潤分享:如果受害者支付了贖金,RaaS 平台會加速付款,通常以加密貨幣支付,並將贖金拆分給附屬機構和勒索軟體開發人員。
勒索軟體即服務讓網路攻擊比以往更容易調度,而且難以預測。這就是為何即時偵測勒索軟體和快速回應如此重要的原因。舉例來說,Pure1® AIOps 平台具備進階功能,能在攻擊期間偵測可疑活動。如果您的組織遭到攻擊者攻擊,設計完善的網路韌性架構有助於確保您快速、完整地復原,而不必拖吊贖金。
勒索軟體即服務的崛起
勒索軟體即服務快速成長,在很大程度上是因為它具有高利潤。巨額的贖金與無法追蹤的加密貨幣支付,讓 RaaS 成為有利可圖的企業。RaaS 也能輕鬆擴展至全球任何國家。RaaS 套件可透過暗網存取,並隨附客戶服務、文件和定期更新。
然而,真正的催化劑是 RaaS 能夠降低進入門檻。成功發動複雜勒索軟體攻擊需要最少的技術知識。
REvil、LockBit 和 DarkSide 等著名的 RaaS 平台,曾負責處理多個產業中備受矚目的入侵事件。
勒索軟體即服務的風險和影響
勒索軟體即服務的影響深遠。首先,RaaS 讓精密的網路攻擊變得普及化,比以往更容易成功入侵,然後收集來自世界各地的受害者的贖金。作為一種犯罪商業模式,它擴展了高度熟練駭客的潛在足跡,導致勒索軟體攻擊的擴散。
對勒索軟體受害者的影響非常大:
- 業務中斷:勒索軟體會因為準備不足的組織難以從備份中還原資料、重建系統並恢復連線,而中斷營運數天或數週。
- 財務損失:費用包括贖金、停機時間、法律費用,以及損失的收入。更糟的是,支付初始贖金可能無法解決問題,因為駭客會繼續要求更多錢,而且復原指示和解密金鑰可能無法運作。
- 聲譽受損:資料洩露和長時間中斷會破壞客戶的信任,並可能導致監管審查或處罰。
- 國家安全疑慮:關鍵基礎設施、醫院和政府機構經常成為目標。
RaaS 的複雜性和擴充性需要進階的保護策略。舉例來說,Pure Storage® SafeModezi 快照功能,可透過建立無法加密或清除的不可變、無法刪除的資料副本,協助減輕勒索軟體的威脅,即使是管理員帳戶也無法加密或清除。
如何防範勒索軟體的攻擊
企業與個人必須採取主動措施,防範 RaaS:
要保護您的組織免受勒索軟體的攻擊,必須在攻擊的所有階段採取策略性方法:在攻擊之前、期間和之後。
在攻擊發生之前,組織應該專注於建立彈性的基礎架構。這首先是實作不可變的備份,例如 SafeMode 快照,防止竄改或刪除,即使是被入侵的管理員帳戶也一樣。為了及早攔截威脅,組織可以部署異常偵測工具,在升級前識別異常行為或存取模式。員工訓練也同樣重要,確保員工能識別網路釣魚電子郵件和社交工程策略,這些通常成為勒索軟體的啟動點。定期進行修補管理對於消除攻擊者經常利用的安全漏洞也至關重要。
在攻擊期間,速度和遏制至關重要。鎖定存取權限、限制使用者權限,並隔離遭入侵的系統,以防止感染傳播,這點至關重要。有了即時監控與分析的協助,組織就能追蹤橫向移動,並中斷攻擊者的進展。即使在攻擊中,SafeMode 等工具仍繼續發揮關鍵作用,防止資料遺失,確保備份副本保持未處理和可存取。
攻擊發生後,復原作業必須快速、乾淨、完整。Pure Storage FlashBlade® 和 FlashArray 之類的解決方案具備分層彈性,讓組織能夠快速還原 PB 的資料,並降低昂貴的停機時間。有了 Evergreen//Oneza,企業可以確信其資料能還原至乾淨、不受損害的狀態,避免再次感染的風險。最後,擁有經過充分預習的事件回應計劃,可確保團隊知道如何果斷採取行動,將營運中斷和財務損失降至最低。
Pure Storage 具備獨特的定位,可協助每個階段。Pure SafeMode 讓企業能夠領先 RaaS 威脅,並恢復強健。
深入了解 Pure Storage 勒索軟體備份與復原解決方案,以及您如何在攻擊發生之前、期間與之後保護資料。
