一、简介

多年来，暗网的传播创造了新的非法商业模式。除了毒品和支付卡数据等典型的非法商品外，地下黑市还出现了其他服务，包括黑客服务和恶意软件开发。新平台允许没有任何技术的骗子创建自己的勒索软件并将其传播。

勒索软件是感染受害者的机器并锁定文件或加密文件的恶意代码，要求支付赎金。当勒索软件安装在受害者机器上时，它会搜索并定位敏感文件和数据，包括财务数据，数据库和个人文件。勒索软件可以让受害者的机器无法使用。用户只有两种选择：在没有获取原始文件的保证的情况下支付赎金或将PC从互联网断开。

二、历史

第一起勒索软件诞生于1989年，当时20,000张软盘被派发为“艾滋病信息介绍软盘”，在90次重启后，该软件隐藏了目录，并在客户的计算机上加密了文件名，声称要支付189美元的赎金。所要求的足额赎金必须存入巴拿马邮政信箱。

历经多年，2005年5月，GpCode，TROJ.RANSOM.A，Archiveus，Krotten等纷纷涌现， 随着2008年底比特币等新的匿名支付方式的出现，勒索软件采用了新的支付方式。

许多勒索软件家族如CryptoLocker，TeslaCrypt和Locky都在全球范围内攻陷了大量系统，但WannaCry目前被认为是所有网络攻击中最具破坏性的。

在发现后的几个小时内，利用SMB协议中的漏洞，恶意软件感染了超过23万台机器。除了它出乎意料的类似蠕虫的行为，WannaCry继续使用传统方法对用户文件进行加密，但要求支付300美元。

过去十年来的攻击样本可以分为两类：

· 锁定型勒索软件：将用户锁定在设备外的勒索软件

· 加密型勒索软件：是加密文件、目录和硬盘的勒索软件

第一种类型是在2008年至2011年间使用的。它被弃用是因为在没有支付赎金的情况下清除感染非常简单。事实上，锁定型勒索软件有一个弱点。它显示了一个拒绝访问计算机的窗口，但很容易绕过。

第二种类型没有这个问题，因为加密型恶意软件直接影响用户的文件并拒绝受害者使用系统。显然，用户不能访问加密文件中包含的信息。

之后下一代勒索软件使用第二种勒索软件的加密方法，但它们组合了高级分发、规避和反分析技术，如Locky和WannaCry。

显然，勒索软件的创建需要特定的先进技术，但是犯罪组织对这种恶意软件所实施的勒索模式的巨大兴趣推动了新服务的创建，使得骗子无需具体知识即可创建勒索软件。欢迎来到RaaS（勒索软件即服务）商业模式。

三、勒索软件即服务

RaaS商业模式的兴起使得从业者无需任何专业技术知识就可以毫不费力地发起网络敲诈活动，这也是导致新的勒索软件市场泛滥的原因。

勒索软件即服务是恶意软件销售商及其客户的盈利模式。使用这种方法的恶意软件销售商可以获取新的感染媒介，并有可能通过传统方法（如电子邮件垃圾邮件或受感染网站）接触到无法接触的新受害者。RaaS客户可以通过RaaS轻松获取勒索软件，只需配置一些功能并将恶意软件分发给不知情的受害者即可。

当然，RaaS平台不能在正常网络上找到，它们隐藏在互联网的黑暗面——暗网中。

通过非传统搜索引擎浏览暗网，可以找到几个提供RaaS的网站。每个都为勒索软件提供不同的功能，允许用户选择加密阶段的文件扩展名;向受害者要求的赎金以及恶意软件将实施的其他功能。

此外，除了使用RaaS平台之外，可以通过犯罪论坛或网站购买自定义恶意软件，可以雇用黑客来创建专属恶意软件。从历史上看，这种商业一直存在，但它专门用于网络攻击，如间谍活动，账户黑客攻击和网站攻击。只有当黑客明白它可以盈利时，他们才开始提供这种特定的服务。

这类服务的供应主要通过两种方式提供：雇用某人根据客户定义的要求编写恶意软件或使用RaaS平台。

（一）RaaSberry

RaaSberry提供了可随时分发的定制勒索软件包。这些软件包预先编译了一个由客户提供的比特币地址，平台创建者不会从受害者处获得任何形式的付款。

一旦勒索软件在受害者的计算机上执行，它将加密客户创建时指定的每种文件类型。检查所有本地驱动器和映射的网络驱动器，并使用即时生成的唯一256位AES密钥对文件进行加密。然后使用客户拥有的唯一的RSA密钥对AES密钥进行加密并上传。

完成后，桌面壁纸将更改为带有付款指示的图像。每个文件夹中都有一个文本文件，其中包含带指令的加密文件。说明文档有英文、西班牙文、普通话、印地文、阿拉伯文、葡萄牙文、俄文、日文、德文、意大利文、越南文、韩文、法文、泰米尔文和旁遮普文。

受害者付费后，AES密钥被提供给程序用于解密。许多勒索软件程序要求受害者下载一个单独的解密器，但是一旦C2服务器提供AES密钥，RaaSberry就会内置解密。如果没有订阅C2服务，仍然可以提供解密服务，通过电子邮件手动解密受害者提供的AES密钥。该网站由几个部分组成：关于、登录、注册和支持。 “关于”部分介绍了如何创建个人勒索软件。

关于勒索软件活动的一系列统计数据、感染次数、付费人数和相关收入可在用户的个人部分中找到。

在此仪表板中，可以购买新软件包，其中包含针对每个计划的相同勒索软件、不同时长的C2。如下图所示，有几种计划：

· Plastic: 1个月C2订阅—$ 60

· Bronze: 3个月C2订阅—$ 150

· Silver: 6个月C2订阅—$ 250

· Gold: 1年C2订阅—$ 400

· Platinum: 3年C2订阅—$ 650

 

一旦用户在平台注册并购买了新的软件包，平台会为他们分配一个个人比特币地址。用户可以控制勒索软件活动的统计数据并检查收入。

此外，可以发送特别的电子邮件向该平台的创建者寻求帮助。

（二）Ranion

另一个提供类似服务的平台是Ranion。新颖之处在于，Ranion团队宣称他们“完全不可检测”勒索软件的C2建在Darknet中。此网站由其运营商不断更新。

在他们的网站上，Ranion团队展示了一个C2仪表板的例子。在下一个图中，可以查看订阅时间，何时到期，以及按计算机ID分类的受感染机器、受害者的用户名、操作系统、IP地址、感染日期、加密文件的数量以及相关加密密钥。

在这个仪表板中，用户可以购买新的软件包，其中每个计划都包含相同的勒索软件，但C2的订阅时间不同。如下图所示，有两个计划中勒索软件是相同的，但订阅C2仪表板的时间不同，显然价格也有所不同。

下图显示了明确的比特币地址，软件包的价格，以及需要进一步信息联系的电子邮件：

下图显示了勒索软件解密器。受害者使用这种方法来解密犯罪分子在支付赎金后发送的密钥。按下“decrypt my files”按钮，文件解密开始。

（三）EarthRansomware

另一个RaaS平台是earthRansomware。下图显示了该网站的主页。客户在购买他们的个人勒索软件后，可以通过电子邮件与EarthRansomware团队联系，登录该平台。

该网站包括了一个提供服务的详细教程。

与之前的RaaS不同，这款服务的固定价格为0.3 BTC。当客户向邮件中指定的比特币地址付款后，就会获得凭证进入个人版块。

在该网站的这个区域，用户可以自定义勒索软件设置：

· 需要的比特币数量

· 电子邮件地址

· 第一次付款截止日期——最后付款截止日期

· 比特币地址

一旦系统受到感染，恶意软件将显示赎金通知，通知受害者付款的截止日期以及支付赎金的说明。

（四）Redfox

Redfox是独一无二的Raas平台。与其他平台不同，它是在Clearnet上托管的。根据开发团队的描述，这种勒索软件是最先进并且可定制。RedFox使用BlowFish算法加密所有用户文件和共享驱动器。

该网页称托管于Tor网络的C2系统允许用户选择赎金金额、付款方式、付款截止日期、个性化赎金记录和其他技术特征。RaaS允许客户选择binder，加壳类型以及加密器，以保证对样品进行反分析。

该网站不包含有关C2使用的示例或教程。但是，用户可以付费和下载构建犯罪基础架构所需的所有内容。

（五）Createyourownransomware

在暗网中找到的完全免费的平台是Createyourownransomware，该网站允许用户下载随时可用的勒索软件，只需填写三个表格：

· 比特币地址。

· 赎金金额

· 一个简单的验证码.

“Money cut”相当于赎金金额的90％，剩余金额是RaaS管理员的服务费。

一旦用户填写完表单，平台将立即构建新样本并显示下载恶意软件的链接。此外，第二个网页显示了有关勒索软件活动的一些统计数据，例如受感染机器数量和付费赎金数量。

与之前的平台不同，该RaaS的用户界面非常小巧，并且只提供少量功能。

（六）Datakeeper

Datakeeper与GandCrab和Saturn一起是威胁领域出现的最新RaaS平台之一。在2018年初，通过这些平台创建的勒索软件感染了许多机器，这表明攻击者对使用RaaS平台的兴趣越来越大。目前，只有Datakeeper服务没有被执法部门封锁。

当用户在网站上注册时，他们可以通过选择一组功能来配置勒索软件。这个平台似乎是一个更完整的平台，因为它允许指定要加密的文件的扩展名。

Datakeeper团队为每次感染收取0.5比特币的服务费。

在“Additional files”部分，用户可以下载该程序来解密加密文件。

下图显示了在受害者机器上投放的示例。