现代企业面临的勒索软件威胁

关键要点

• 勒索软件已成为现代企业面临的重大威胁，勒索金额平均超过80万美元。
• 勒索软件团伙日益专业化，Conti案例显示其组织结构类似合法企业。
• 勒索软件即服务（RaaS）使得几乎任何具备基本技术能力的人都能参与网络犯罪。
• 勒索软件的商业化现象显著，预计这一趋势将持续并可能加速发展。

勒索软件一直是现代企业面临的主要威胁之一。从最初加密数据并索要解锁密钥的“勒索软件”概念，到如今双重和三重勒索的日益普遍，这些变化推动了勒索金额的上涨，依据Sophos的数据，平均已超过80万美元，并导致LookingGlass在2022年上半年追踪到超过1100起攻击。

在当前环境中，最令人担忧的是勒索软件团伙自身变得愈加专业。以2022年2月的Conti泄露事件为例。在俄罗斯入侵乌克兰后，Conti勒索软件团伙宣称支持俄罗斯政府，并威胁会针对任何支持乌克兰的一方展开攻击。

这一支持声明是独特的，因为大多数勒索软件团伙往往避免与国家政府明确对接。当然，朝鲜是个例外，该国的勒索活动通常被用于资助政权。Conti泄露事件之所以引人注目，不仅在于事件的起因，还在于它揭示了一个顶尖勒索软件团伙的组织结构。

新兴的专业勒索软件团伙

媒体对勒索软件团伙的印象通常是孤狼黑客创建加密软件，并迫使支付以获取解密密钥。然而，Conti泄露所展示的现实远非如此。

名为
的推特账号显示，Conti具备传统商业所期待的基础设施。当Cyberint分析这些泄露信息（翻译自俄文）时，他们创建了下图，以展示Conti运营的假定组织结构。这是一种你在合法企业中会见到的流程图，唯一的例外是其财务团队专注于洗钱，当然可以忽略这一点的类比。

来源: Cyberint

Conti的组织结构与过去松散关联的勒索软件团伙完全不同。这也反映出日益专业化的以财务为动机的勒索软件团伙。过去，孤狼式的勒索软件创作者通过自动化的广泛目标寻找潜在的攻击目标，而如今的勒索软件团伙则是有着薪水的员工和季度收入目标的商业公司，这正是合法企业关心的同类指标。

除了服务客户，勒索软件组织同样想像其他企业一样获取利润。勒索软件企业已知会设立分期付款和其他安排，以确保勒索金的支付。他们甚至会设法向受害者展示支付赎金是唯一的最佳选择。他们还有漏洞赏金计划，用于指出代码中的错误；Lockbit于2022年6月启动了第一个计划，并在9月向一位研究人员支付了5万美元的奖励。

勒索软件即服务：地下罪犯的SaaS

“勒索软件即服务”（RaaS）也已成为网络犯罪分子的一种常见策略。RaaS允许几乎任何具备基本技术技能的人成为勒索软件威胁行为者。在过去，犯罪分子开发自己的勒索软件程序被认为是颇具挑战性的，因为工具复杂且昂贵。如今，RaaS让几乎任何人都能比以往更轻松地进行网络犯罪运营。

RaaS模型已经存在多年，但由于客户和供应商需求的增加，最近它的增长速度显著加快。通常，购买RaaS产品的客户群体包括那些寻求“现成”恶意软件以用于攻击的人。这些购买不仅为供应商提供了现成工具的接入，还允许这些客户立即发起攻击，无需具备多样的技术技能或对加密学和网络安全最佳实践的了解。

自2016