很多人认为RaaS就是一种勒索软件租赁服务，攻击实施者会付费使用RaaS团伙提供的恶意软件。事实上，租赁服务只是RaaS的冰山一角，而且以这种方式出租或出售的通常都是质量最差的勒索软件。

比较著名的勒索软件团伙通常会采用私人会员计划，外围攻击者可以在会员论坛中提交简历以申请会员资格。

对于被接纳的会员，每次成功的勒索软件攻击后，可以分得赎金的70%-80%， 勒索软件开发人员则可获得20%至30%的佣金。(编者：类似REvil这样的“大牌”勒索软件团伙甚至会在会员论坛的加密货币钱包地址中打入高达上百万美元的“保证金”)

为了对受害者的系统进行加密，会员组织会雇佣黑客提供服务，这些黑客可以访问目标网络、获得域管理员特权、收集并窃取文件，然后将获得访问所需的所有信息传递给会员组织并对其进行加密。

每次攻击后，赎金利润通常会平均分配给RaaS小组，入侵网络的黑客和勒索软件会员。

勒索软件RaaS的三大集团

目前，有超过二十个活跃的RaaS团伙帮派正在积极寻求将勒索攻击外包给勒索软件“加盟”公司。

正如威胁情报公司Intel 471在近日发布的一份报告中所言，“一些知名的勒索软件团伙结成了紧密而秘密的犯罪圈子，通过直接和私密的通讯方式联系，外人难以觉察。”

根据过去一年中对勒索软件团伙的监测，Intel 471按照知名度和活跃时间长度，将勒索软件团伙分为三大集团(层级)：

• 已经成为勒索软件代名词的主流团伙;
• 老树开新花，复活的变体;
• 具备“篡位”潜力的全新变体。

第一集团的勒索软件团伙都是在过去几年中成功获得数亿勒索赎金的组织。

他们中的绝大多数还使用了除加密数据外的其他勒索方法，例如从受害者的网络中窃取敏感信息，并威胁要泄漏这些信息。(编者：甚至有安全专家指出，企业删除泄露数据缴纳的勒索赎金有可能超过解密数据的赎金，成为勒索软件团伙的主要收入。)

第一集团的RaaS团伙包括：

• DopplePaymer(用于攻击Pemex、BretagneTélécom、纽卡斯尔大学、杜塞尔多夫大学)、Egregor(Crytek、Ubisoft、Barnes&Noble);
• Netwalker/Mailto(Equinix、UCSF、密歇根州立大学、收费小组);
• REvil/Sodinokibi(Travelex、纽约机场、德克萨斯州地方政府)。

Ryuk在排名中名列前茅，在去年，大约有三分之一的勒索软件攻击中检测到了其有效载荷。

Ryuk还因使用Trickbot、Emotet和BazarLoader感染媒介将其有效载荷作为多阶段攻击的一部分而闻名，可以轻松地进入目标网络。

此外，Ryuk的分支机构还长期对美国医疗保健系统发起大规模攻击，并要求巨额赎金支付，今年初已从一名受害者那里收割了3400万美元赎金。

第二集团(复活组)的RaaS组织在2020年逐渐发展为数量更多的会员制连锁组织，并参与了多起攻击。

属于第二集团的勒索软件包括：SunCrypt、Conti、Clop、Ragnar Locker、Pysa/Mespinoza、Avaddon、DarkSide(可能是来自REvil的一个分支)等等。