2017年的5月,无疑是互联网安全行业值得铭记的最重要时刻之一。WannaCry在短短几日内席卷全球造成了数十亿美元的损失,也使得勒索软件成为各个机构、企业不得不严防死守的主要网络威胁。在过去的八年中,IT技术早已日新月异,人工智能也已席卷全球……但是,勒索软件的威力并未随着时间的推移而减弱,反而大有愈演愈烈之势。今日,Check Point的安全专家就勒索软件的未来发展以及如何以主动防御的理念应对这一挑战发表了自己的看法。
从文件锁死到全面的勒索生态系统
勒索软件已从简单的文件加密方案迅速演变为复杂的多阶段勒索行动。曾经常见的锁定文件并要求支付解密密钥的方法,现在往往被数据外渗、公开企业和个人受害者隐私、甚至 DDoS 攻击等所取代。根据 Check Point Research 的报告,2025年第一季度,勒索软件达到了破纪录的水平,数据泄漏网站(DLS)上公布了2289名受害者,同比增长126%。
勒索软件即服务(RaaS):降低进入门槛
勒索软件即服务(RaaS)的增长使网络犯罪门槛不断降低。根据 Check Point 外部风险管理公司的《2024 年度勒索软件报告》显示,仅2024 年,就出现了 46 个新的勒索软件集团,活跃集团增加了48%。在与上一年相比,这些组织提供现成的勒索软件包、客户服务门户和收入共享模式,使低技能攻击者比以往任何时候都更容易发起复杂的攻击活动。其中一个名为 RansomHub 的勒索软件集团成为 2024 年最主要的勒索软件集团,共造成 531 名受害者,甚至超过了 LockBit。RaaS 的成功意味着勒索软件集团现在的运营方式就像 SaaS 初创公司一样--灵活、可扩展、高效而危险。
AI+勒索软件:更智能、更快速、更难检测
2025 年的勒索软件威胁不仅更加频繁,而且更加智能。使用人工智能生成的恶意软件、人工智能编写的网络钓鱼诱饵,甚至深度仿冒,都在重新定义这些攻击的实施方式。 FunkSec 等新兴组织已经在部署人工智能生成的勒索软件有效载荷 ,减少了发动攻击所需的时间和技能。人工智能被用于绕过 EDR(端点检测和响应)系统的另一种手段是攻击者使用合法工具禁用安全软件在入侵过程中。
Check Point 认为,人工智能增强型勒索软件将使犯罪分子能够更快地扩展、更快地适应,并在整个供应链中自动瞄准目标。随着今年的到来,各机构可能会遭遇 2-3 次大规模供应链勒索软件攻击,而人工智能将发挥关键作用。
捏造受害者和虚假泄密
现代勒索软件组织越来越注重心理操纵。有些组织,如 Babuk-Bjorka,现在会发布虚假或回收的受害者数据,以夸大自己的影响力,恐吓他人付款。这种策略增加了追踪实际事件的难度,也凸显了勒索软件从单纯加密向全方位胁迫的转变。
与此同时,数据泄露和公开威胁已成为主要的施压手段。在许多情况下,受害者不是在系统瘫痪时,而是在被盗数据出现在网上时才首次发现攻击。
日益严重的勒索软件威胁:机构必须立即采取行动
根据 Check Point 外部风险管理公司的勒索软件报告,2024 年美国仍是勒索软件攻击目标最多的国家,占所有勒索软件案例的 50.2%。商业服务、制造业和零售业受到的打击最大,这些行业存储敏感数据,非常依赖正常运行时间。在印度等发展中国家,由于数字化应用和混合工作环境日益普及,勒索软件攻击同比激增了 38%。
随着勒索软件变得越来越敏捷、由人工智能驱动并具有心理操控性,传统的补丁和备份模式已不再足够。要保持领先地位,企业必须
采用零信任架构--绝不信任,始终验证。执行身份检查,限制横向移动。
供应链加固 - 评估第三方风险,监控合作伙伴网络的漏洞。
利用人工智能进行防御--正如攻击者使用人工智能一样,防御者也必须使用人工智能驱动的威胁检测和 SOC 协同进行实时检测和优先排序。
为数据勒索做好准备--对传输中和静态的敏感数据进行加密。数据盗窃是每个勒索行为“必要”的一部分。
投资网络保险和合规性 - 随着法规的收紧,安全团队必须确保符合合规性框架,以获得保险承保资格并避免罚款。
防范勒索软件攻击
如今勒索软件威胁已远远超越了 2017 年,它不仅涉及加密文件,还涉及数据被盗、声誉受损和供应链中断。勒索软件不再是一个技术问题,而是一个业务复原力问题。领导者必须像对待财务健康或法律合规一样认真对待网络准备工作。在新型勒索软件大行其道之际,我们不仅要反思勒索软件威胁已经发展到何种程度,更要主动思考如何通过主动防御的理念避免自己成为下一个受害者。
