勒索软件攻击激增67%，数据窃取正取代加密成新威胁

首页

科技数码

热心网友

转载

2025-12-02

最新研究报告指出，勒索软件威胁在2025年上半年再次创下历史新高，受害者数量较去年同期激增67%。勒索软件即服务模式导致攻击组织数量急剧增加且迭代频繁，令防御者难以有效追踪。随着企业备份与恢复能力不断提升，网络犯罪分子正从单纯加密转向数据窃取施压，并借助初始访问代理商与未修复漏洞加速入侵进程。

勒索软件活动呈现持续上升态势，无论是受害者规模还是活跃攻击组织数量均大幅增长。Searchlight Cyber发布的一份年中报告揭示了威胁态势的快速演变，以及为何首席信息安全官需要持续调整防护策略。

勒索软件活动量达历史新高

今年1月至6月期间，勒索软件组织在其公开的勒索网站上累计列出了3734名受害者。这一数字较2024年下半年增长了20%，与去年同期相比更是飙升了67%。

报告显示，自2024年初以来，勒索软件活动持续增长，这主要得益于勒索软件即服务模式的兴起。通过允许关联组织租用勒索软件工具，核心组织得以在不亲自处理每次攻击的情况下扩大其影响范围。

报告中涉及的主要勒索软件组织中，大部分都采用这种运营模式。这有助于解释为何即使个别组织停止活动或关闭，受害者数量依然持续攀升。

攻击组织增多，活动频繁

2025年上半年，报告追踪到88个活跃的勒索软件组织，而2024年末这一数字为76个。其中，35个是全新出现的组织，此前没有任何活动记录。

这种持续迭代使得防御者难以有效追踪威胁态势。组织经常发生分裂、合并或更名，关联组织也在不同组别间频繁转换。即使某个组织消失，其成员也很少完全退出勒索软件领域。

报告强调，这些变化发生得越来越快，增加了防御方将攻击归因于特定威胁行为者的复杂性。

Searchlight Cyber威胁情报主管Luke Donovan表示，这种动态变化的态势也影响了勒索软件的攻击方式。“勒索软件组织已经意识到，单纯加密受害者内容的效果不如从前。备份和恢复能力的提升改变了这场博弈的格局，”Donovan解释说，“仅通过数据窃取就能对受害者施加压力造成更大损害，同时减少了实施攻击的噪音和时间消耗。”

Donovan补充道，虽然这是一种演变而非彻底变革，但它强化了加强检测能力的必要性。“组织应对这种不断变化的勒索软件战术、技术和程序的方式并未发生巨大变化。双重勒索模式始终以数据窃取为重点。然而，这确实强调了持续监控的必要性，以便早期发现初始访问、横向移动和数据窃取行为。”

攻击目标所在地

观测到的攻击活动大多针对北美和欧洲的组织。在所有列出的受害者中，65%来自北约成员国。美国受害者数量最多，其次是加拿大、德国、英国、法国和意大利。

报告指出了这种集中分布的三个主要原因：高经济价值、先进技术环境带来的大攻击面，以及与国家相关组织的地缘政治动机。

初始访问代理商加剧风险

报告还强调了初始访问代理商的作用，这些代理商在地下论坛出售网络访问权限。这使得勒索软件组织能够绕过自行获取初始访问所需的时间和精力。

Donovan提供了一个现实案例，说明这些交易如何预示着攻击的到来。“2月份，一名初始访问代理商在一个黑客论坛上发布了一条消息，称可以访问名为Alcott HR Group的组织。与这类帖子一样，代理商未透露受害者姓名，但提供了足够的信息来确定访问对象。18天后，Play勒索软件组织在其勒索网站上公布了黑客论坛帖子中提到的受害者，”Donovan说道。

“通过主动监控，或许能够发现该帖子，展开调查，并实施安全措施，从而降低勒索软件攻击或任何未经授权访问发生的可能性。”

Donovan指出，并非每次代理访问交易都会导致勒索软件攻击，但监控这些论坛为安全团队提供了宝贵的早期预警。“关于初始访问代理商活动的情报有助于识别指标和警告。这有助于更早地预防护、检测或阻止威胁行为者，尽早打破网络杀伤链，并降低威胁行为者实现其目标的可能性。”