Sophos News

解構5 個勒索軟體即服務 (RaaS) 工具套件以及它們如何銷售和定價

  • monicaleesophoscom

    • 近幾個月來,我們已經為您介紹 黑暗網路 (Dark Web) 已經出現了任何可負擔的人都可購買勒索軟體發行版本工具套件。這些 RaaS (勒索軟體即服務) 工具套件讓只有少許技術的人可以相對容易地進行攻擊。

    Naked Security 博文專區先前就已經回報過一些個別的工具套件,並在 7 月公佈了一個更狡猾多變的威脅的報告:Philadelphia

    本文將對此一問題進行更廣泛的分析,然後分析 5 個RaaS 套件,並比較每個套件如何銷售和定價。這項研究是由位於匈牙利布達佩斯的 SophosLabs 網絡威脅研究員 Dorka Palotay 進行的。

    監控 RaaS 型的勒索軟體攻擊非常不易,因為病毒作者擅長於掩蓋他們的踪跡。SophosLabs 收到的樣本數量從個位數到數百個都有。聽起來雖然並不多,但研究人員現在正在努力解決的問題重心是這些工具套件的銷售量將如何影響全球勒索軟體的氾濫程度。

    打擊 RaaS 的工作必須從源頭開始著手,這就是本文的重點。無論樣本數字多或少,從這種現象我們幾乎可以肯定全球勒索軟體的危害正在加劇,可用的工具套件數量只會越來越多。

    Philadelphia

    如上所述,Philadelphia 是最複雜的和有行銷手法的案例之一。其提供更多個性化的選項可選,花 389 美元則可以得到一個完全無限制的授權。

    RaaS 工具套件的開發者是 Rainmakers Labs,其以合法軟體公司銷售產品和服務的相同方式運作業務。當該公司隱身在黑暗網絡上的市場上銷售 Philadelphia 時,其在 YouTube上傳一支高品質的「簡介」影片,解釋了該套件的具體細節,以及如何使用各種功能選項來自訂勒索軟體。

    其客戶包括一名四月份被警察逮捕的奧地利少年,因為他使用該套件攻擊了當地一家公司。在這個案例中,駭客鎖定了該公司的伺服器和營運資料庫,然後要求 400 美元的解鎖費用。受害者拒絕了,因為該公司能夠從備份中復原資料。

    Stampado

    這是 Rainmaker Labs 第一個推出的 RaaS 套件,他們從 2016 年夏季開始以 39 美元的低價銷售該套件。

    在 2016 年底,開發者根據所獲得的經驗,研發出更為複雜的 Philadelphia,其中包含了大量的 Stampado 手法。開發者對 Philadelphia 的霸主地位充滿信心,因此開出總價 389 美元的完全版功能。

    儘管 Philadelphia 已經推出,但 Stampado 仍然繼續銷售。以下廣告來自開發者的網站:

    Frozr Locker

    FileFrozr 工具套件的價格是 0.14 比特幣。當遭受感染時,受害者檔案會被加密。

    大約 250 種不同的副檔名的檔案會被加密。Frozr Locker 頁面指出,使用者必須購買授權才可以使用產生器:

    開發者甚至提供線上支援,以便客戶可以隨時發問以解決任何問題:

    Satan

    這項服務聲稱可以產生一個可以運作的勒索軟體樣本,並供使用者免費下載。其可讓您設定自己的價格和付款條件,並代表您收取贖金、提供解密工具給付款的受害者,以及透過比特幣支付給您 70% 的贖金。

    開發者會保留剩下的 30% 的收入,所以如果受害者支付了 1 比特幣的贖金,那麼客戶就可以收到 0.7 比特幣。

    費用還可根據客戶能夠創造的感染和支付數量調整。

    當使用者產生一個 Satan 樣本發送到網路上時,必須填寫以下表格來自訂付費方案。它包含一個驗證碼方塊,以確保其身分正確無誤。

    RaasBerry

    SophosLabs 在 2017 年 7 月首次發現了這一個威脅。它出現在黑暗網路上,和其他套件一樣,其允許客戶自訂他們的攻擊。工具套件中會預先編譯好客戶提供的比特幣帳戶和電子郵件地址,而且開發者承諾不會瓜分利潤:

    客戶可以選擇 5 種不同的工具套件,從「入門」(“Plastic”) 級的一個月命令和控制訂閱,到「銅級」(“Bronze”) 的三個月訂閱不等:

    防禦對策

    目前,公司和個人對付這個問題的最好方法就是遵循以下針對勒索軟體的防禦措施:

     

    相關文章:  https://news.sophos.com/en-us/2017/07/25/philadelphia-raas-reflects-bad-guys-knack-for-salesmanship/