勒索軟體即服務(RaaS):企業必須了解的事項
網路犯罪分子利用安全漏洞,將勒索軟體植入電腦,破壞資料並索取贖金。"勒索軟體即服務"(RaaS)是勒索軟體演進中的新分支,它使勒索軟體更具靈活性,使其能輕易傳播並感染更多電腦。本文將說明何謂 RaaS、其運作方式,以及組織該如何保護自身環境,以防範這種新型態的勒索軟體。
何謂"勒索軟體即服務"(RaaS)?
"勒索軟體即服務"(RaaS)是一種網路犯罪商業模式,其運作方式是勒索軟體開發者將惡意軟體租賃給其他網路犯罪分子(稱為"合作夥伴"),並以此換取成功攻擊所獲利潤的一定比例或其他形式的報酬。這種"勒索軟體即服務"的運作模式,與合法企業中的"軟體即服務"(SaaS)模式相似。雖然 SaaS 可能帶來益處,但 RaaS 卻是非法的、危險且破壞性極強的。
RaaS 透過訂閱、授權費或聯盟計畫運作。使用者(聯盟夥伴)可取得即用型勒索軟體套件、控制台及技術支援。 部分 RaaS 供應商甚至提供 7×24 技術支援。合作夥伴無需自行開發惡意軟體,即可執行攻擊並從勒索中獲利。勒索軟體開發者則因無需親自發動網路攻擊並耗費時間,因而能增加利潤。這些因素使 RaaS 模式成為網路犯罪分子間互利共贏的模式。

"勒索軟體即服務"是如何運作的?
"勒索軟體即服務"(RaaS)的運作模式類似商業性的軟體即服務(SaaS)模式,但其用途卻是為了犯罪目的。網路犯罪分子透過分工合作來提升效率:勒索軟體開發者負責編寫惡意程式碼,而合作夥伴則負責開發更複雜的攻擊手法並發動勒索軟體攻擊。以下將說明"勒索軟體即服務"的運作方式。
RaaS 平台的建立
- 開發人員編寫勒索軟體程式碼。
- 他們建立一個平台(通常位於暗網),並提供給聯盟夥伴使用。該平台可能包含:
- 控制面板或儀表板;
- 自訂選項(贖金金額、目標類型、加密設定);
- 支援文件與更新。
招募合作夥伴
- RaaS 營運商招募希望使用勒索軟體的聯盟夥伴及其他網路犯罪分子。
- 聯盟夥伴在 RaaS 入口網站註冊後,可能需要支付:
- 每月訂閱費。
- 一次性費用。聯盟夥伴只需支付一次費用,即可與營運商分享贖金的一定比例。
- 透過簽訂收益分成協議來分享利潤(例如,聯盟夥伴獲得 70%,開發者獲得 30%)。
勒索軟體開發者會為其 RaaS 平台策劃廣告活動,並在暗網(包括地下論壇)上進行行銷推廣。他們積極招募新的合作夥伴,並發動更多勒索軟體攻擊。
聯屬夥伴發動的攻擊
- 聯屬組織利用勒索軟體工具包發動攻擊。
- 常見的交付方式:
- 含有惡意附件或連結的網路釣魚email;
- 利用軟體漏洞;
- 遭入侵的網站或遠端桌面協定 (RDP) 暴力破解攻擊。
- 一旦執行,勒索軟體便會加密受害者的檔案,並顯示一則勒索訊息,要求支付贖金(通常以比特幣等加密貨幣支付)。
贖金支付
- 受害者會被引導至一個付款入口網站(通常可透過 TOR 網路存取),以便支付贖金。由於加密貨幣難以追蹤,支付通常以加密貨幣進行。
- 部分 RaaS 營運商會提供客服中心,供受害者取得付款指示或"解密證明"。
收益分成
- 一旦贖金付清:
- 聯盟夥伴與 RaaS 服務供應商會根據雙方協議自動分配款項。
- 聯盟夥伴可能會獲得用於解密檔案並將其傳送給受害者的工具。
持續演進
- RaaS 開發者持續更新勒索軟體,以避免被防毒軟體偵測到。
- 他們也可能升級特點、支援新的加密貨幣,或提供新的漏洞利用方式。
|
舞台 |
說明 |
|
發展 |
這款勒索軟體是由技術嫻熟的程式設計師所開發的 |
|
招聘 |
聯盟夥伴註冊使用本服務 |
|
部署 |
聯屬組織利用 RaaS 工具包發動攻擊 |
|
付款 |
受害者透過加密入口網站支付贖金 |
|
利潤分享 |
收益由開發者和聯盟夥伴共同分享 |
RaaS 將勒索軟體轉變為"即插即用"的服務,從而使網路犯罪產業化。這使得任何缺乏技術能力的人都能透過網路攻擊獲利,大幅加劇了威脅情勢。
值得注意的 RaaS 集團及其變種
一些知名的勒索軟體開發者,同時也是頂尖的"勒索軟體即服務"(RaaS)供應商。RaaS 模式讓犯罪集團及有組織的犯罪團體得以發動破壞性攻擊。
REvil(Sodinokibi)
REvil 該組織以提出史上最高的已登記贖金要求而聞名。這項"勒索軟體即服務"(RaaS)主要活躍於 2019 年至 2021 年間。REvil 採用雙重勒索策略:加密檔案並威脅洩露資料。該組織甚至為合作夥伴提供了使用者友善的入口網站。
值得注意的攻擊事件:
- JBS(全球最大的肉類供應商)
- Kaseya VSA 軟體供應鏈攻擊
來源:據信為俄羅斯。
狀態:遭國際執法機關打斷。
DarkSide
DarkSide 活躍於 2020 年和 2021 年。這個"勒索軟體即服務"(RaaS)組織聲稱會避開醫療和教育領域的目標。DarkSide 的運作模式如同一般企業,設有公關部門和技術支援團隊。其中最引人注目的攻擊是針對 Colonial Pipeline 的行動,該事件導致美國出現燃油短缺。攻擊過程中使用了 Salsa20 演算法及 RSA 加密技術。
來源:與俄羅斯有關聯的組織。
狀態:因"殖民管道"事件引發的輿論反彈而關閉,但殘餘勢力已更名(例如 BlackMatter)。
LockBit
LockBit 於 2019 年發布,至今仍活躍於網路世界。其知名攻擊目標包括埃森哲(Accenture)、英國皇家郵政(Royal Mail UK)以及若干政府機關。LockBit 3.0 版本新增了漏洞懸賞計畫與資料外洩網站。這項"勒索軟體即服務"(RaaS)平台提供了自動化功能及可自訂的聯盟工具。2022 年,LockBit 成為全球最盛行的勒索軟體。
來源:可能來自東歐。
狀態:儘管曾遭下架,目前仍處於活躍狀態(截至 2025 年)。
康迪
Conti 勒索軟體活躍於 2020 年至 2022 年間,愛爾蘭衛生服務執行局(HSE)是其主要攻擊目標之一。網路犯罪分子採用雙重勒索策略,並利用自身基礎設施(而非基於 TOR 的網路)。2022 年,Conti 勒索軟體的洩密事件曝光了其內部聊天記錄。
來源: 與俄羅斯有關的,可能是琉克的繼任者。
狀態:已解散,許多成員很可能加入了其他團體。
BlackCat (ALPHV)
BlackCat 自 2021 年起便持續運作,並曾被用於對大學、醫療機構及關鍵基礎設施發動成功的攻擊。該程式以 Rust 語言編寫,這使得其更難被偵測。此勒索軟體採用三重勒索手段:加密、竊取資料以及 DDoS 攻擊威脅。
來源:疑似曾隸屬於 DarkSide 或 REvil 的成員。
狀態:活躍且持續發展中。
Hive
Hive 勒索軟體活躍於 2021 年至 2023 年間,曾用於攻擊醫療保健產業,包括醫院。該軟體以加密速度快及竊取資料而聞名。此勒索軟體利用遠端桌面協定、遠端連線協定及 VPN,以取得進入受害者網路的初始存取權限。聯邦調查局(FBI)已於 2023 年 1 月查封了此"勒索軟體即服務"(RaaS)的基礎設施。
勒索軟體集團經常更名、合併,或以新名稱重新現身。RaaS 生態系統具有韌性且持續演進,新興集團往往會沿用前輩們的作戰策略。
為何 RaaS 正成為日益嚴重的網路安全威脅
"勒索軟體即服務"透過讓勒索軟體更易於取得,進而增加了網路攻擊的頻率、擴展性及破壞力。傳統方式需要高超的技術能力,且執行攻擊所需的時間較長。此類平台通常附帶逐步操作指南、技術支援以及易於使用的控制面板。
多個分支機構可利用同一种勒索軟體變種,同時鎖定數百或數千名受害者。這種"特許經營模式"大幅縮放了攻擊的規模與地理覆蓋範圍。許多 RaaS 組織的運作模式如同合法的 SaaS 公司,提供:
- 服務等級(基本版與進階版)
- 聯盟夥伴審核流程
- 受害者協商服務
- 為受害者設立的贖金支付服務台
這種專業化使相關服務更加可靠,也更具吸引力,尤其對潛在的攻擊者而言。RaaS 集團在暗網運作,使用匿名通訊及支付工具。其合作夥伴可能分散在不同國家,這使得執法機關的工作更加複雜。

聯營夥伴與開發者會瓜分巨額贖金,有時單次攻擊的贖金高達數百萬美元。加密貨幣讓攻擊者更容易匿名索取並洗錢。透過"即用型勒索軟體"(RaaS),攻擊者得以鎖定廣泛的目標。那些往往缺乏足夠資源來全面防禦此類威脅、且更傾向於支付贖金的產業,正是攻擊者最青睞的目標。
如果某位"勒索軟體即服務"(RaaS)開發者被捕,合作夥伴可以另尋供應商來恢復營運。反之,若某位合作夥伴被捕入獄,勒索軟體開發者也能另聘他人。這個因素使得"勒索軟體即服務"更具韌性。
RaaS 開發者經常更新其惡意軟體以規避偵測。他們會加入:
- 零日漏洞
- 混淆技術
- 進階加密
- 有些 RaaS 開發者甚至會為其他網路犯罪分子提供漏洞懸賞計畫,以協助他們改進工具。
|
因子 |
為何這很重要 |
|
技能需求低 |
增加攻擊者的數量 |
|
可擴展模型 |
發動大規模攻擊變得輕而易舉 |
|
豐厚的財務回報 |
讓網路犯罪分子更有動力 |
|
專業營運 |
聯盟夥伴的成功率更高 |
|
急速演化 |
防守球員更難跟上 |
|
廣泛的目標群體 |
直擊關鍵且防護不足的領域 |
|
難以追查 |
限制執法成效 |
RaaS 正使網路犯罪普及化,將勒索軟體轉變為一種商品。其廣泛的可取得性正引發全球性的攻擊浪潮,使其成為當今網路安全領域中增長最迅速的威脅之一。
RaaS 攻擊的商業風險與陷阱
"勒索軟體即服務"會帶來嚴重的商業風險,其危害遠比暫時性的服務中斷更為嚴重。一旦勒索軟體攻擊得逞,不僅可能導致營運停擺、損害組織聲譽,更將引發長期的財務與法律後果。
當系統、應用程式和檔案在遭受勒索軟體攻擊(該攻擊會加密或破壞檔案)後無法存取時,便會導致營運中斷。因此,企業營運可能會停擺數小時、數天甚至數週。
財務損失包括直接和間接損失。這些成本可能包括:
- 贖金支付, 通常以加密貨幣支付,且無法保證能還原款項。
- 還原成本。 一旦遺失獨特資料,便難以重新建立。過去,透過運用網路安全專家分享的某些技巧,在遭受勒索軟體攻擊後仍有可能還原部分資料。然而,如今這類成功還原的情況已相當罕見。
- 停機時間與生產力損失。 一旦得知您的產品或服務因勒索軟體攻擊而中斷,客戶可能會因此避免購買。
- 網路安全事件應變。 組織在遭受勒索軟體攻擊後,可能需要額外的軟硬體設備才能恢復正常運作。
- 額外費用: 聘請第三方專家、法律顧問或談判代表需支付額外費用。
未遵守資料保護法規(例如, 《一般資料保護條例》(GDPR),HIPAA、CCPA)可能導致法律及監管上的後果。潛在問題可能包括強制性的資料外洩通知、來自客戶或合作夥伴的訴訟、罰款及法律處罰。最危險的勒索軟體會在加密前先竊取資料,進而採取雙重或三重勒索手段。
支付贖金的組織可能會成為反覆遭受攻擊的目標,尤其是當他們未修復現有漏洞時。即使系統已恢復正常,隱藏的惡意軟體或後門仍可能殘留。這不僅會損害公司的聲譽,更可能導致客戶與投資者失去信任。部分網路保險保單並不涵蓋勒索軟體攻擊,或設有嚴格的承保條件。
如何保護您的組織免受 RaaS 攻擊
防範"即用型勒索軟體"(Ransomware as a Service)的措施,與一般勒索軟體防護措施完全相同。組織必須採用結合技術、流程與人員的多層次策略。您應在駭客(合作夥伴)與組織的網路資產之間設置足夠的防禦屏障。
- 保護所有電腦 在貴組織內部安裝可靠且現代化的防毒軟體(包括遠端工作人員的電腦)。
- 設定防火牆 以保護您的網路。關閉未使用之連接埠,並設定防火牆規則。透過網路分段,在發生感染時限制勒索軟體的擴散。
- 教育使用者 察覺勒索軟體攻擊的最初徵兆。使用者必須了解勒索軟體的傳播方式及其主要攻擊途徑,例如釣魚email、惡意連結及社會工程學伎倆。大多數 RaaS 攻擊都是從釣魚攻擊或人為疏失開始的。
- 設定惡意軟體防護 適用於使用垃圾郵件過濾器和網路安全工具的email。
- 設定基於角色的存取控制。 請使用難以被破解的強密碼。請使用 多因素驗證 對於email等最關鍵的服務而言,"最小權限原則"與"零信任架構"是對抗勒索軟體服務的有效措施。RaaS 合作夥伴通常會利用弱密碼或重複使用的憑證。

- 安裝安全性修補程式 以修補作業系統、應用程式及韌體中的軟體漏洞。此舉可縮小網路攻擊面。RaaS 套件通常利用已知的漏洞利用程式來入侵存在漏洞的系統。
- 監控 IT 基礎架構。 設定監控 使用軟體監控網路、CPU 和儲存裝置的負載,以偵測可能預示勒索軟體攻擊的異常活動(檔案加密會大幅增加處理器和磁碟的負載)。監控異常的登入模式及錯誤的登入嘗試,以偵測未經授權的存取。及早偵測可在加密開始前阻止勒索軟體。
- 請定期備份資料。 執行 備份測試 以確保您在發生災難時能夠恢復資料。若發生加密情況,備份便是最後一道防線。
- 制定事件應變計畫, 災難還原計畫 以及 業務連續性計畫做好準備可以大幅減少停機時間和損害。
備份在抵禦勒索軟體中的作用
備份對於保護資料免受勒索軟體攻擊至關重要,包括透過"勒索軟體即服務"發動的攻擊。一個可靠的 備份策略 讓組織無需支付贖金,並能迅速恢復資料。
完成備份後,您可以:
- 無需解密金鑰即可還原已加密或刪除的資料。此舉可將向網路犯罪分子支付贖金所帶來的財務與道德風險降至最低。
- 採用可靠的備份系統,可快速恢復業務運作並將停機時間降至最低。視還原能力而定,停機時間可從數天或數週縮短至數小時。
- 享受高性價比的資料還原服務。
投資一套完善的備份系統,遠比支付贖金、處理系統停機或承擔法規罰款來得划算。
請遵循以下建議做法,利用備份來進行勒索軟體防護:
- 請按照 3-2-1 備份法則請將您的資料備份三份,分別儲存於兩種不同的儲存媒體上,其中一份應存放於異地或離線狀態。
- 設定一個定期任務 備份排程 以確保資料損失降至最低。
- 使用 不可變更的備份 以防止勒索軟體加密或刪除備份。
- 使用離線模式或 空間隔離備份 讓該副本完全與網路斷開連接。
- 執行自動化備份。此做法可減少人為錯誤並確保資料的一致性。
- 啟用備份 加密 以保護靜止狀態及傳輸中的資料。
- 測試備份與還原程序,以確保備份功能正常運作,且能迅速還原資料。
- 採用隔離式存取控制,並限制對備份系統的存取權限,以降低內部威脅。
有幾種做法您應避免:
- 僅僅依靠 雲端備份 (它們也可能成為攻擊目標);
- 未能定期測試還原程序;
- 將備份系統與生產系統置於同一網路中;
- 無法偵測到已感染備份資料的勒索軟體。
擁有安全、經過測試且獨立存放的備份資料,企業便能完全恢復運作,無需支付贖金。缺乏備份的企業往往會面臨嚴重損失、長達數週的停機,甚至永久性資料遺失。備份不僅是預防措施,更是任何防範勒索軟體韌性的核心環節。然而,唯有在備份頻率高、安全可靠、經過測試且獨立存放的情況下,才能發揮其應有功效。
"勒索軟體即服務"(RaaS)的未來
隨著網路犯罪分子持續發展其戰術與基礎設施,RaaS 很可能帶來更先進、更廣泛且更持久的威脅。在未來幾年,我們可以預期會出現以下特點:
- 更複雜的惡意軟體. 搭載人工智慧的勒索軟體(AI 驅動型勒索軟體)能夠自動化執行目標篩選、加密模式及規避偵測的策略。進階的 RaaS 工具可能會整合機器學習技術,以更聰明的方式繞過安全防禦機制。
- 網路犯罪日益專業化. RaaS 營運將變得更加企業化,提供分層定價方案、服務水準協議及客戶服務入口網站。趨勢顯示,RaaS 集團將像黑市 SaaS 供應商那樣運作。施壓手段將變得更加針對個人且更具侵略性。
- 針對關鍵基礎設施及營運技術系統的攻擊. RaaS 集團將鎖定能源、交通及醫療保健領域的工業控制系統,尤其是那些過時且安全性較低的系統。攻擊重點正轉向那些對系統正常運行時間有迫切需求、且影響重大的領域。
- 更廣泛地運用初級存取中介服務商. 專業犯罪分子可以販售已遭入侵系統的存取權限。因此,RaaS 合作夥伴可以跳過初始入侵階段,直接進入部署階段。
- 更嚴格的資料保護措施. 組織必須實施更可靠的数据保護措施和網路安全系統,包括採用基於人工智慧的機制來早期偵測勒索軟體的軟體。重點將放在韌性與還原能力上,而不僅僅是預防。 防禦策略 將因應先進威脅而演變。網路保險條款可能會阻止或限制支付贖金。
結論
"勒索軟體即服務"(RaaS)是勒索軟體發展的現代階段,其組織架構比傳統勒索軟體更具分散性且更為高效。RaaS 使網路犯罪分子能夠發動更多攻擊,這意味著企業必須加強保護其基礎設施。除了預防性的網路安全措施外,資料備份也是最重要的資料保護措施之一。請投資於可靠的資料保護解決方案,例如 NAKIVO Backup & Replication、定期備份、遵循最佳實踐,並在遭受攻擊時切勿支付贖金。