在過去的幾年裡，勒索軟件的威脅一直在增長，雖然大多數針對的是廣泛的攻擊面，並且包含機會主義的攻擊模式，但微軟現在已經發布了關於人為操作的勒索軟件（human-operated ransomware，為了簡潔起見，我們將其稱為”HOR”）的警告，這在勒索軟件即服務（RaaS）的經濟中正成為主導。

HOR與傳統的勒索軟件不同，因為它針對特定係統中的特定弱點，由人類手動發現。一個例子是利用環境中具有高權限的服務。微軟表示，HOR在攻擊的每個階段都有人類輸入，系統缺陷或人類錯誤可能被用來提升權限，獲得更多敏感數據，並最終帶來更大的賠付動力。讓HOR更加危險的是，攻擊者通常在付款後也不會離開受害者的網絡。他們不斷地試圖通過部署新的惡意軟件來使他們的訪問持續產生傷害和收入，直到他們被完全清除。

微軟強調，RaaS最近開始傾向於雙重勒索模式，受害者的數據不僅被加密，而且攻擊者還威脅要將其公開直到收到錢。該公司還指出，HOR活動通常利用傳統的配置和錯誤的配置，以及不良的憑證狀況來提升其權限。因此，企業中的安全專家需要過渡到零信任模式，他們不僅要注意單一的警報，還要對整個安全態勢和事件有一個整體的看法。

微軟也警告各組織關於RaaS聯盟模式的存在和發展，如下所述：

在過去，我們已經觀察到，在一種勒索軟件的每次活動中，初始進入載體、工具和勒索軟件的有效載荷選擇之間存在緊密的關係。RaaS聯盟模式允許更多的犯罪分子，無論其技術專長如何，都可以部署由他人構建/管理的勒索軟件，這就削弱了這種聯繫。隨著勒索軟件的部署成為一種零工經濟，將特定攻擊中使用的技術與勒索軟件的有效載荷開發人員聯繫起來變得更加困難。

[RaaS是運營商和附屬公司之間的一種安排。RaaS運營商開發和維護支持勒索軟件操作的工具，包括生產勒索軟件有效載荷的構建器和與受害者溝通的支付門戶。

[……]因此，RaaS給人一種統一的感覺，即有效載荷或活動是一個單一的勒索軟件家族或一組攻擊者。然而，發生的情況是，RaaS運營商將贖金有效載荷和解密器的訪問權出售給一個附屬機構，後者執行入侵和特權升級，並負責部署實際的贖金軟件有效載荷。然後雙方分享利潤。此外，RaaS開發商和運營商還可能利用有效載荷牟利，將其出售，並與其他勒索軟件的載荷一起開展活動–在追踪這些行動背後的犯罪分子時更加困難。

為了打擊這些不斷增長的複雜威脅，微軟建議企業應遷移到零信任模式，建立憑證衛生，審計憑證暴露，執行雲加固，優先部署活動目錄更新，減少攻擊面，緩解安全盲點，並加固周邊環境–特別是面向互聯網的資源。運用安全軟件的統一調查功能和跨域可視性來檢測和主動應對威脅。

微軟計劃在5月12日的微軟安全峰會數字活動中更詳細地討論這一領域，你可以在這裡註冊：

https://mssecuritysummit.eventcore.com/?ocid=AID3046765_QSG_584073