RaaS已漸漸形成一個產業鏈，什麼是RaaS呢?

勒索軟體即服務 (RaaS) 是犯罪企業的一種商業模式，允許任何人註冊並使用工具進行勒索軟體攻擊。與軟體即服務 (SaaS) 或平台即服務 (PaaS) 等其他即服務模式一樣，RaaS 客戶租用勒索軟體服務，只要發現目標企業即可隨時發動攻擊。

因勒索軟體攻擊導致業務中斷，受害總額也急劇增加，勒索資安事件不勝枚舉，而且有急速增加的趨勢。台灣企業 2023年揭露的重大資安事件為27家，截至2024年1-6月累計受駭企業家數就已超過2023年全年被揭露的總數量，其中超過90%的案例不僅涉及數據加密，還包括數據竊取和勒索，形成企業營運受阻及支付高額贖金的「雙重勒索」。

台灣是全球科技製造重鎮，許多企業手中都握有國際大廠研發資料，這些資料含金量高，讓台灣企業成為了全球駭客眼中的肥羊。根據資安業者Fortinet統計，2023年亞太區共偵測到9703億次威脅，其中台灣占比逾4成，佔全球第一名，換算下來，台灣被攻擊的次數高達近4000億次，其實形勢相當嚴峻。

• 從我們的分析中得知，勒索軟體的主要侵入途徑共分為三種模式：

1. 通過釣魚郵件等感染的設備作為跳板進行侵入；
2. 透過VPN（虛擬私人網路）或遠程訪問等後門方式進行侵入；
3. 從供應商、交易對手或第三方等其他公司系統進行侵入。

無論哪種方式，其最終目標均是侵入相當於Windows中「Active Directory」的「中央管理伺服器」。

• 勒索軟體的三種主要侵入途徑

就手段而言，越來越多的攻擊針對了軟體的漏洞，2023年，針對廣為人知的商業軟體「MOVEit」與「Zimbra」的脆弱性的大規模攻擊接連發生，被害事件數量激增，除了眾所周知的軟體之外，針對特定行業或業務模式的專用軟體也被利用，還有報告指出，多家賭場透過第三方遊戲供應商的系統作為跳板受到侵害。

目前最主要的三種勒索軟體分別是「LockBit3」、「 ALPHV/BlackCat」及「CLOP」，這些均採用了稱為「RaaS（Ransomware as a Service）」的服務模式運作，已形成明確的分工體系。勒索軟體的製造者，即「RaaS運營商」，會開發名為「建構者」的勒索軟體製作模組並透過網站提供。執行攻擊的實施者被稱為「RaaS聯盟」，他們下載這些建構者並實際發動攻擊。

• 勒索軟體的製作與執行等工作已被分工的RaaS模式

如果企業支付贖金，「其中大部分將由實施犯人獲得，剩餘的2至3成將由RaaS操作員獲得」。除此之外，還有暗中活躍的「存取經紀人」出售遭洩漏的ID/密碼等，以及「MaaS(Mobility as a Service)操作員」散佈惡意軟體。

在RaaS模式下，由於每次攻擊都會獲得新的惡意軟體來實施，攻擊的速度和程度也日益增加，其中超過7成是未知的威脅。

RaaS 模式催生出未知威脅，傳統的因應對策已顯不足 ，我們提出了兩個RaaS模式在因應對策上面臨的課題。

1. 第一是傳統的對策已不敷使用。「採用模式檔案或簽章型等『阻止過去曾見過的病毒』的方法無法防範。即使採用在入侵後對應的『EDR(Endpoint Detection and Response:端點檢測與因應)』觀念，但對於勒索軟體來說，等到偵測到時已經為時已晚。」
2. 第二是因未能妥善因應而導致再次感染的擴散。「目前的趨勢是預期入侵發生並思考安全防護對策。因此，即使在病毒入侵後能夠封鎖已感染的端點，但是殘留在儲存裝置或備份等檔案中的病毒仍會再次擴散感染。」

隨著生成AI(人工智慧)的出現，惡意軟體將更加多樣化和大量化，與防範方之間的差距恐將進一步擴大。 基於上述，建議在防範勒索軟體攻擊時應注意的5大趨勢:

（1）雙重勒索普及化與戰略轉向以資訊竊取為主:不涉及資料加密的「無病毒勒索」案件增加 。

（2）資訊洩漏手法由洩漏網站轉為新手法:採用鏡射或替代通訊協定等手法 。

（3）針對Linux、VMware ESXi 的勒索軟體增多:以「Rust」或「Golang」編寫的惡意程式難以偵測，且能跨平台運作 。

（4）利用漏洞進行大規模攻擊活動增多:從發現漏洞到部署勒索軟體攻擊的流程已成熟。

（5）運用大規模語言模型(LLM)進行攻擊:可用於製作攻擊輔助工具、惡意程式及散布製造程式庫等。

利用深度學習因應未知威脅的「Deep Instinct」

針對上述5大趨勢，我們提出3點因應對策:

1. 從預期感染或入侵的觀念，轉換為預防威脅入侵或感染的對策 。

2. 加強可視化漏洞並立即因應，包括檢查備份與儲存裝置等環境內的檔案，強化IT管理。

3. 投資能因應利用生成AI或大規模語言模型使攻擊更具規模與精巧的新型安全防護 。

為了對抗「未知威脅」，Deep Instinct 提供採用深度學習技術的預測型安全防護基礎「Deep Instinct」，深度學習引擎，能夠偵測並排除未知的惡意程式檔案，而且誤判率低、掃描與判定速度快，且更新頻率少、操作負擔也輕。Deep Instinct也能從指令碼、PowerShell或任何殼層碼在記憶體中的行為，偵測並阻擋攻擊，即使長時間離線，也能持續掃描並判定檔案是否安全。不僅支援indows、Mac，也支援Linux與工業控制系統，Deep Instinct 是一套可靠阻絕未知威脅的機制。

Deep Instinct參考連結: https://www.qiso.com.tw/#DI

錡碩資訊有限公司

www.QISO.com.tw