黑客论坛上的勒索软件即服务（RaaS）广告是一个网络安全术语，指通过专用门户网站或黑客论坛上的线程向其他集团出租勒索软件的犯罪团伙。

RaaS门户通过向其他团伙提供现成的勒索软件代码来工作。这些团伙，通常被称为RaaS客户或附属公司，租用勒索软件代码，使用RaaS提供的选项进行定制，然后通过他们选择的方法部署到现实世界的攻击中。

这些方法因RaaS附属公司而异，可能包括电子邮件鱼叉式网络钓鱼攻击、群发电子邮件垃圾邮件活动，使用泄露的RDP凭据访问公司网络，或使用网络设备中的漏洞访问企业内部网络。

这些事件的付款，无论分支机构是如何设法感染受害者的，请到RaaS帮派，他们只保留一小部分份额，然后将剩余部分转发给附属公司。

RaaS产品自2017年开始提供，它们被广泛采用，因为它们允许非技术犯罪团伙传播勒索软件，而不需要知道如何编码和处理先进的加密概念href=“https://public.intel471.com/blog/ransomware-as-a-service-2020-ryuk-maze-revil-egregor-doppelpaymer/“target=”noopener noreferrer nofollow“data component=”externalLink“>Intel 471，目前，在地下黑客活动现场，大约有25种RAA产品在做广告。

同时还有勒索软件团伙在运作不把他们的“产品”租给其他群体，目前可用的RaaS门户网站数量远远超过了许多安全专家认为可以使用的数量，并且显示了犯罪团伙在勒索软件游戏中可以选择的太多选项。

但并非所有的RaaS产品都提供相同的功能。英特尔471表示，它一直在三个不同的层次上跟踪这些服务，这取决于RaaS的复杂程度、功能和久经考验的历史。

第1层适用于当今最著名的勒索软件操作。要被归类为1级RAA，这些操作必须持续数月，通过大量攻击证明其代码的可行性，并在公开曝光的情况下继续运行。

该层包括REvil、Netwalker、DopplePaymer、Egregor（Maze）和Ryuk。

除了Ryuk，所有第1层操作员也运行专用“泄密地点”他们点名羞辱受害者，以此作为他们的勒索集团的一部分。

这些团伙还使用各种各样的入侵媒介，每一个都取决于他们招募的附属公司的类型。他们可以利用网络设备中的漏洞（通过招募网络专家）来破坏网络，他们可以将勒索软件有效载荷投放到已经被其他恶意软件感染的系统上（通过与其他恶意软件卡特尔合作），或者他们可以通过RDP连接访问公司网络（通过与暴力僵尸网络运营商或卖家合作，或通过泄露的RDP凭证）。

第2层适用于在地下黑客活动中获得声誉的RaaS门户网站，可以访问高级勒索软件，但尚未达到与一级运营商相同数量的分支机构和攻击。

该列表包括Avaddon、Conti、Clop、DarkSide、Mespinoza（Pysa）、RagnarLocker、Ranzy（Ako）、SunCrypt等，Thanos——这些都是勒索软件领域的后起之秀。