勒索軟件活動(dòng)再次呈上升趨勢(shì)，受害者數(shù)量和發(fā)起攻擊的組織數(shù)量均大幅增加。Searchlight Cyber發(fā)布的一份年中新報(bào)告揭示了威脅態(tài)勢(shì)變化的迅速程度，以及為何CISO需要持續(xù)調(diào)整防御措施。

勒索軟件活動(dòng)達(dá)歷史新高

今年1月至6月，勒索軟件組織在其公開的勒索網(wǎng)站上列出了3734名受害者。這一數(shù)字比2024年下半年增長(zhǎng)了20%，與去年同期相比更是激增了67%。

報(bào)告顯示，自2023年初以來(lái)，勒索軟件活動(dòng)持續(xù)增長(zhǎng)，這主要得益于勒索軟件即服務(wù)模式的興起。通過允許關(guān)聯(lián)組織租用勒索軟件工具，核心組織能夠在不親自處理每次攻擊的情況下擴(kuò)大其影響范圍。

報(bào)告中的五大勒索軟件組織中，大部分都采用這種模式。這有助于解釋為何即便個(gè)別組織停止活動(dòng)或關(guān)閉，受害者數(shù)量仍持續(xù)攀升。

組織增多，活動(dòng)頻繁

2025年上半年，報(bào)告追蹤到88個(gè)活躍的勒索軟件組織，而2024年末這一數(shù)字為76個(gè)。其中，35個(gè)是全新出現(xiàn)的組織，此前無(wú)任何活動(dòng)記錄。

這種不斷的更迭使得防御者難以追蹤威脅。組織經(jīng)常分裂、合并或更名，關(guān)聯(lián)組織也頻繁在不同組織間轉(zhuǎn)換。即便某個(gè)組織消失，其成員也很少?gòu)氐纂x開勒索軟件領(lǐng)域。

報(bào)告強(qiáng)調(diào)，這些變化發(fā)生得更快，增加了防御攻擊并將其歸因于特定威脅行為者的復(fù)雜性。

Searchlight Cyber的威脅情報(bào)主管Luke Donovan表示，這種不斷變化的態(tài)勢(shì)也影響了勒索軟件攻擊的方式?！袄账鬈浖M織已經(jīng)意識(shí)到，加密受害者內(nèi)容的效果已不如從前。備份和恢復(fù)能力的提升對(duì)這場(chǎng)博弈產(chǎn)生了影響，”Donovan解釋道，“僅數(shù)據(jù)竊取就能通過給受害者施加壓力造成更大的損害，同時(shí)減少了實(shí)施攻擊的噪音和時(shí)間消耗?！?/p>

Donovan補(bǔ)充說，雖然這是一種演變而非徹底變革，但它強(qiáng)化了加強(qiáng)檢測(cè)能力的必要性。“組織應(yīng)對(duì)這種不斷變化的勒索軟件戰(zhàn)術(shù)、技術(shù)和程序(TTP)的方式并未發(fā)生巨大變化。雙重勒索勒索軟件攻擊一直以數(shù)據(jù)竊取為重點(diǎn)。然而，這確實(shí)強(qiáng)調(diào)了持續(xù)監(jiān)控以早期發(fā)現(xiàn)初始訪問、橫向移動(dòng)和數(shù)據(jù)竊取的必要性?！?/p>

攻擊目標(biāo)所在地

觀察到的活動(dòng)大多針對(duì)北美和歐洲的組織。在列出的所有受害者中，65%來(lái)自北約成員國(guó)。美國(guó)受害者數(shù)量最多，其次是加拿大、德國(guó)、英國(guó)、法國(guó)和意大利。

報(bào)告指出了這種集中的三個(gè)主要原因：高經(jīng)濟(jì)價(jià)值、先進(jìn)技術(shù)環(huán)境帶來(lái)的大攻擊面，以及與國(guó)家相關(guān)的組織的地緣政治動(dòng)機(jī)。

初始訪問代理商加劇風(fēng)險(xiǎn)

報(bào)告還強(qiáng)調(diào)了初始訪問代理商(IAB)的作用，這些代理商在地下論壇上出售網(wǎng)絡(luò)訪問權(quán)限。這使得勒索軟件組織能夠繞過自行獲取初始訪問所需的時(shí)間和精力。

Donovan提供了一個(gè)現(xiàn)實(shí)中的例子，說明這些交易如何預(yù)示著攻擊的到來(lái)?！?月，一名初始訪問代理商在一個(gè)黑客論壇上發(fā)布了可訪問一家名為Alcott HR Group的組織的消息。與這類帖子一樣，代理商未透露受害者姓名，但提供了足夠的信息來(lái)確定訪問對(duì)象。18天后，Play勒索軟件組織在其勒索網(wǎng)站上公布了黑客論壇帖子中提到的受害者，”Donovan說。

“通過主動(dòng)監(jiān)控，或許能夠發(fā)現(xiàn)該帖子，展開調(diào)查，并實(shí)施安全措施，從而降低勒索軟件攻擊或任何未經(jīng)授權(quán)訪問發(fā)生的可能性。”

Donovan指出，并非每次代理訪問交易都會(huì)導(dǎo)致勒索軟件攻擊，但監(jiān)控這些論壇為安全團(tuán)隊(duì)提供了寶貴的早期預(yù)警?！瓣P(guān)于初始訪問代理商活動(dòng)的情報(bào)有助于識(shí)別指標(biāo)和警告。這有助于更早地預(yù)防、檢測(cè)或阻止威脅行為者，盡早打破網(wǎng)絡(luò)殺傷鏈，并降低威脅行為者實(shí)現(xiàn)其目標(biāo)的可能性?！?/p>

利用漏洞

許多最為活躍的勒索軟件組織仍依賴未修復(fù)的漏洞來(lái)獲取目標(biāo)網(wǎng)絡(luò)的初始訪問權(quán)限。報(bào)告列出了今年被利用的幾個(gè)主要漏洞，包括那些影響流行企業(yè)軟件和網(wǎng)絡(luò)設(shè)備的漏洞。

這些漏洞往往被迅速利用，有時(shí)甚至在補(bǔ)丁發(fā)布之前。這種速度給安全團(tuán)隊(duì)帶來(lái)了額外壓力，要求他們盡快識(shí)別暴露的系統(tǒng)并進(jìn)行修復(fù)。