解構5 個勒索軟體即服務 (RaaS) 工具套件以及它們如何銷售和定價

近幾個月來，我們已經為您介紹 黑暗網路 (Dark Web) 已經出現了任何可負擔的人都可購買勒索軟體發行版本工具套件。這些 RaaS (勒索軟體即服務) 工具套件讓只有少許技術的人可以相對容易地進行攻擊。

Naked Security 博文專區先前就已經回報過一些個別的工具套件，並在 7 月公佈了一個更狡猾多變的威脅的報告：Philadelphia。

本文將對此一問題進行更廣泛的分析，然後分析 5 個RaaS 套件，並比較每個套件如何銷售和定價。這項研究是由位於匈牙利布達佩斯的 SophosLabs 網絡威脅研究員 Dorka Palotay 進行的。

監控 RaaS 型的勒索軟體攻擊非常不易，因為病毒作者擅長於掩蓋他們的踪跡。SophosLabs 收到的樣本數量從個位數到數百個都有。聽起來雖然並不多，但研究人員現在正在努力解決的問題重心是這些工具套件的銷售量將如何影響全球勒索軟體的氾濫程度。

打擊 RaaS 的工作必須從源頭開始著手，這就是本文的重點。無論樣本數字多或少，從這種現象我們幾乎可以肯定全球勒索軟體的危害正在加劇，可用的工具套件數量只會越來越多。

Philadelphia

如上所述，Philadelphia 是最複雜的和有行銷手法的案例之一。其提供更多個性化的選項可選，花 389 美元則可以得到一個完全無限制的授權。

RaaS 工具套件的開發者是 Rainmakers Labs，其以合法軟體公司銷售產品和服務的相同方式運作業務。當該公司隱身在黑暗網絡上的市場上銷售 Philadelphia 時，其在 YouTube上傳一支高品質的「簡介」影片，解釋了該套件的具體細節，以及如何使用各種功能選項來自訂勒索軟體。

其客戶包括一名四月份被警察逮捕的奧地利少年，因為他使用該套件攻擊了當地一家公司。在這個案例中，駭客鎖定了該公司的伺服器和營運資料庫，然後要求 400 美元的解鎖費用。受害者拒絕了，因為該公司能夠從備份中復原資料。

Stampado

這是 Rainmaker Labs 第一個推出的 RaaS 套件，他們從 2016 年夏季開始以 39 美元的低價銷售該套件。

在 2016 年底，開發者根據所獲得的經驗，研發出更為複雜的 Philadelphia，其中包含了大量的 Stampado 手法。開發者對 Philadelphia 的霸主地位充滿信心，因此開出總價 389 美元的完全版功能。

儘管 Philadelphia 已經推出，但 Stampado 仍然繼續銷售。以下廣告來自開發者的網站：

Frozr Locker

FileFrozr 工具套件的價格是 0.14 比特幣。當遭受感染時，受害者檔案會被加密。

大約 250 種不同的副檔名的檔案會被加密。Frozr Locker 頁面指出，使用者必須購買授權才可以使用產生器：

開發者甚至提供線上支援，以便客戶可以隨時發問以解決任何問題：

Satan

這項服務聲稱可以產生一個可以運作的勒索軟體樣本，並供使用者免費下載。其可讓您設定自己的價格和付款條件，並代表您收取贖金、提供解密工具給付款的受害者，以及透過比特幣支付給您 70％ 的贖金。

開發者會保留剩下的 30％ 的收入，所以如果受害者支付了 1 比特幣的贖金，那麼客戶就可以收到 0.7 比特幣。

費用還可根據客戶能夠創造的感染和支付數量調整。

當使用者產生一個 Satan 樣本發送到網路上時，必須填寫以下表格來自訂付費方案。它包含一個驗證碼方塊，以確保其身分正確無誤。

RaasBerry

SophosLabs 在 2017 年 7 月首次發現了這一個威脅。它出現在黑暗網路上，和其他套件一樣，其允許客戶自訂他們的攻擊。工具套件中會預先編譯好客戶提供的比特幣帳戶和電子郵件地址，而且開發者承諾不會瓜分利潤：

客戶可以選擇 5 種不同的工具套件，從「入門」(“Plastic”) 級的一個月命令和控制訂閱，到「銅級」(“Bronze”) 的三個月訂閱不等：

防禦對策

目前，公司和個人對付這個問題的最好方法就是遵循以下針對勒索軟體的防禦措施：

• 定期備份並在異地保留最近的備份副本。除了勒索軟體之外，還有很多狀況都會使檔案突然消失，例如火災、水災、竊盜、筆記型電腦遺失，甚至是不慎刪除等。請加密您的備份，如此一來就不必擔心備份裝置落入他人手中。
• 不要啟用電子郵件附件中的巨集。多年前為了安全理由，Microsoft 已經特意地預設關閉自動執行巨集的功能。許多惡意軟體都會騙你打開巨集功能以便感染您的電腦，千萬不要受騙。
• 小心不請自來的郵件附件。犯罪分子玩的心理遊戲是，除非您確認檔案是您要的否則不應打開檔案；但若不打開，又怎麼知道您需不需要。如果懷疑，就刪掉它。
• 盡早、經常安裝修補程式。非經文件巨集感染的惡意軟體通常是利用知名應用程式的安全漏洞入侵，如 Office、瀏覽器、Flash 和其他程式。您越早進行修補，犯罪分子可以入侵的漏洞就越少。在遭受這種攻擊時，使用者使用的最好是最新版本的 PDF和 Word。
• 如果您希望保護組織，請使用Sophos Intercept X。Intercept X 經由阻擋未經授權的檔案加密動作來阻擋勒索軟體。
• 使用Sophos Home for Windows 和Mac 來保護您的家人和朋友。完全免費！

相關文章:  https://news.sophos.com/en-us/2017/07/25/philadelphia-raas-reflects-bad-guys-knack-for-salesmanship/