自2023年6月以来,Sophos X-Ops 在暗网上发现了19种廉价、独立生产的勒索软件变体,这些勒索软件变体的开发者试图打破近十年来一直主导勒索软件行业的传统联盟基础勒索软件即服务(RaaS)模式。
不同于将勒索软件出售给联盟,攻击者创造并出售这些简单的勒索软件变体,只需一次性费用——有时其他攻击者将此视为针对中小企业甚至个人的机会。
“过去一两年中,勒索软件已达到某种稳态。它仍是企业面临的最普遍且严重的威胁之一,但我们最近的‘活跃对手报告’发现攻击数量已稳定,RaaS模式仍是大多数主要勒索软件团体的首选操作模式,”Sophos的威胁研究主管Christopher Budd说。
“然而,在过去两个月中,勒索软件生态系统中的一些最大玩家已经消失或关闭,过去我们也见证了勒索软件联盟对RaaS的利润分成方案表示愤怒。网络犯罪世界中没有什么是永恒不变的,这些廉价的现成勒索软件版本可能是勒索软件生态系统的下一个演变——特别是对于那些只寻求利润而非名声的低技能网络攻击者来说,”Budd总结道。
这些勒索软件在暗网上的中位价为375美元,远低于一些RaaS联盟套件的价格,后者可能超过1000美元。报告指出,网络攻击者已经部署了四种此类攻击变体。尽管勒索软件变体的能力差异很大,但它们最大的卖点是它们几乎不需要或不需要支持基础设施就能运行,且用户无需与创造者分享利润。
勒索软件变体的讨论主要发生在面向低层次犯罪分子的英语暗网论坛上,而不是那些受到知名攻击者团体频繁访问的成熟的俄语论坛。这些新变体为新入行的网络犯罪者提供了一种吸引人的方式,使他们能够在勒索软件世界中起步,与这些廉价勒索软件的广告同时存在的,还有众多请求如何开始的建议和教程的帖子。
“这些类型的勒索软件变体不会像Cl0p和Lockbit那样索要百万美元的赎金,但它们确实可以针对中小企业(SMBs)发挥效果,对许多开始他们‘职业生涯’的攻击者来说,这已经足够。尽管勒索软件变体的现象还相对较新,我们已经看到其创造者关于扩大运营的野心的帖子,我们还看到了其他人谈论创建自己的勒索软件变体的多个帖子。
“更令人担忧的是,这种新的勒索软件威胁对防御者构成了独特的挑战。因为攻击者针对的是中小企业,且赎金要求较小,大多数攻击可能会未被发现和未被报道。这给防御者留下了一个情报空白,安全社区将不得不填补这一空白,”Budd说。
