游乐游手机版
首页/科技数码/文章详情

勒索软件变身潜伏寄生虫,数据勒索成核心威胁

时间:2026-03-02 10:43
勒索软件攻击正从高调加密转向隐蔽潜伏与数据窃取,报告显示,攻击者更侧重持久化与防御规避,甚至利用OpenAI、AWS等受信任平台隐藏C2流量。 攻击者正从“掠夺式”的快速攻击转向“寄生式”的长期潜伏

勒索软件攻击正逐渐从高调加密转向隐蔽潜伏与数据窃取。报告显示,攻击者更侧重于持久化与防御规避,甚至利用OpenAI、AWS等受信任平台来隐藏C2流量。

攻击者正从“掠夺式”的快速攻击转向“寄生式”的长期潜伏。CISO必须强化身份管控,密切监控受信任的应用程序及集成,并将检测策略聚焦于攻击者持久化驻留行为。

随着敏感企业数据公开泄露的威胁成为勒索的主要手段,勒索软件攻击者正转变策略,采用更为隐蔽的渗透方式。

Picus Security的年度红队演练报告显示,攻击者正从高调破坏转向静默的长期访问——即从“掠夺式”的快速攻击转向“寄生式”的静默潜伏。

在勒索软件变种最常用的五种攻击技术中,有四种旨在攻击者获得初始访问权限后保持隐蔽。例如,据专门从事漏洞利用和攻击模拟的网络安全公司Picus Security称,随着攻击手段的演进,勒索软件行动越来越多地采用防御规避和持久化驻留技术。

攻击者还越来越多地通过OpenAI和AWS等受信任的企业服务路由命令与控制(C2)流量,使恶意活动更接近正常业务流量。

Picus Security的结论基于攻击模拟,并结合对110万份恶意文件和1550万次映射至MITRE ATT&CK框架的对抗性行为的分析得出。

Picus关于攻击者更倾向于隐蔽和持久化而非高调破坏的发现,与Securin的勒索软件研究结果一致。Securin报告称,攻击者在攻击企业系统时正串联利用多个漏洞。

“勒索软件团伙不再将漏洞视为孤立的入侵点,”渗透测试和网络安全服务公司Securin的首席威胁情报分析师Aviral Verma表示,“他们将漏洞组合成蓄意的利用链,不仅根据严重程度选择弱点,还根据它们在瓦解整个平台的信任、持久化和操作控制方面的有效性来选择。”

AI如今已广泛为威胁行为者所利用,但它在勒索软件攻击中主要起增强作用,而非驱动作用。

双重威胁

勒索软件团伙通常偏好双重勒索策略,即结合以泄露被盗信息为威胁的黑客手段,以及在入侵企业网络后通过加密数据造成的破坏进行勒索。

Picus报告称,随着更多网络犯罪分子转向以静默窃取数据作为主要勒索手段,过去12个月内加密行为减少了38%。

Picus关于勒索软件攻击数量下降的说法遭到了其他专家的质疑。

终端安全供应商Eset的首席安全布道者Tony Anscombe提出了不同观点。

“在Eset最近发布的《2025年上半年威胁报告》中,检测数据显示,上下半年间增长了13%,同时通过公开报告报告的受害者数量增加了40%,那么勒索软件的威胁似乎并未减少。”Anscombe告诉记者。

网络安全服务公司GuidePoint Security的高级威胁情报顾问Nick Hyatt表示,去年有超过7000名受害者的数据被公开,这一数字可能还不包括“那些支付了赎金且未被威胁行为者公开的受害者”。

GuidePoint表示,去年活跃的勒索软件团伙数量创历史新高,远未显示出任何整合的迹象。

“威胁行为者精简了攻击能力,综合运用既有技术、漏洞利用和新型攻击手段来实现目标。”Hyatt说。

恶名昭著的团伙

专家普遍认为,Qilin、Cl0p和Akira是最活跃的勒索软件团伙,但也不乏其他竞争者。

“从Huntress 2025年的数据来看,Akira如今是排名第一的勒索软件团伙,”托管检测与响应公司Huntress的安全运营高级经理Dray Agha表示,“他们的攻击手段正在迅速演变,专门用于抵消现有安全解决方案的作用,我们看到他们积极瞄准虚拟机管理程序层面,以完全绕过传统的终端安全保护。”

应用安全公司Black Duck Software的高级总监兼杰出技术专家Collin Hogue-Spears表示,勒索软件运营者已不再像有组织犯罪那样运作,而是开始像平台企业那样运作。

“Qilin在2025年公布了超过1000名受害者,是前一年的七倍,”Hogue-Spears说,“LockBit 5.0在被打击后恢复了运营能力。”

与此同时,Scattered Spider/Lapsus$/ShinyHunters联盟正在推行“勒索即服务”模式,这一做法使得技术不那么熟练的网络犯罪分子也能轻松非法牟利。

该联盟已在网络犯罪生态系统中引发了“结构性转变”。

“六个月内出现了73个新团伙,因为他们不再需要自己开发工具,”Hogue-Spears说,“他们租用工具。”

新威胁技术要求重新思考安全策略

托管检测与响应公司Quorum Cyber威胁团队成员Vasileios Mourtzinos表示,越来越多的团伙正放弃高影响力的加密攻击,转向以数据窃取和长期、低噪声访问为优先的勒索模式。

“这种方法由Cl0p等行为者通过大规模利用第三方和供应链漏洞而流行起来,如今正被更广泛地效仿,同时伴随着对有效账户的更多滥用、利用合法管理工具融入正常活动,以及在某种情况下试图招募或激励内部人员以协助访问。”Mourtzinos说。

勒索软件团伙不断演变的攻击手段应促使防御策略重新思考。

“对CISO来说,当务之急是加强身份管控,密切监控受信任的应用程序和第三方集成,并确保检测策略聚焦于持久化驻留和数据窃取活动。”Mourtzinos建议道。

来源:https://www.51cto.com/article/837007.html
上一篇解决游戏中途断电痛点:前行者A7无线鼠标实测 下一篇北京太空VR体验新突破:双人提升专利赋能空间站沉浸之旅
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
宇树验证具身智能新趋势核心战场不止于模型
科技数码 · 2026-07-01

宇树验证具身智能新趋势核心战场不止于模型

具身智能领域的竞争,正步入一个全新的发展阶段。近日,宇树科技正式发布了其WVLA2 0具身大模型,并公开展示了无需远程遥操的实机演示。这一举动向业界释放了一个明确信号:当前这场竞赛的核心壁垒,或许已不再是谁拥有更大的模型参数,而是谁的架构设计更为精巧、谁能更深度地实现软硬件一体化、谁能积累更海量的实

智元精灵G2机器人产线直播完成64828件成功率99.99%
科技数码 · 2026-07-01

智元精灵G2机器人产线直播完成64828件成功率99.99%

99 99%的任务成功率——这是智元机器人在6月23日至28日期间,将精灵G2机器人直接部署到真实的平板量产质检产线,并全程公开直播后,交出的最具说服力的答案。 让我们关注这场直播的硬核数据:连续64小时不间断作业,产线累计完成17625件产品检测,机器人累计执行64828次操作,任务成功率精确达到

纯电动Cayenne首秀保时捷驾驶中心全国路演
科技数码 · 2026-07-01

纯电动Cayenne首秀保时捷驾驶中心全国路演

保时捷正在加速推进其电动化转型战略。继纯电动Cayenne与Gen 3 Evo赛车在三亚街道赛共同亮相后,仅过了一周时间,这款全新纯电SUV便驶入中国专业赛道场景——这一次,地点换成了永久性专业赛道。 回顾2026年北京车展,保时捷首款纯电动Cayenne Turbo正式首发并公布了售价。新车提供两

AI工具能否成为高价志愿咨询纠纷的破局之道
科技数码 · 2026-07-01

AI工具能否成为高价志愿咨询纠纷的破局之道

广东高考成绩公布后,志愿填报这场“第二次大考”随即全面开启。对众多家庭而言,这或许比高考本身更令人心力交瘁——时间紧迫、信息庞杂、选项繁多,每一步都如履薄冰。教育部近日发布预警,严厉批评那些漫天要价的“志愿规划师”,直言其本质上就是忽悠。然而每年踩坑的案例仍屡见不鲜,网上信息真假混杂,不同机构给出的

头部企业全产业链布局锂电池回收循环
科技数码 · 2026-07-01

头部企业全产业链布局锂电池回收循环

近年来,伴随新能源汽车产业的爆发式增长,早期投入使用的动力电池正迎来集中退役高峰,锂电池回收行业因此进入一个至关重要的“窗口期”。这些退役电池中富含锂、钴等珍贵金属资源——尤其是被誉为“白色石油”的锂,正从地下矿藏逐渐转向我们身边的“城市矿山”,从“一次性使用”的线性消耗模式,迈向“循环再生”的可持