2025年活跃勒索攻击组织盘点
时间 : 2026年03月25日
1.概述
勒索攻击目前已成为全球组织机构主要的网络安全威胁之一,被攻击者作为牟取非法经济利益的犯罪工具。为了增加受害方支付勒索赎金的概率并提升赎金金额,攻击者已从单纯的恶意加密数据演变为采用“窃取文件+加密数据”的双重勒索策略。更有甚者,在双重勒索的基础上,增加DDoS攻击以及骚扰与受害方有关的第三方等手段,进一步演变为“多重勒索”。近年来,勒索攻击的主流威胁形态已从勒索团伙广泛传播勒索软件收取赎金,逐渐转化为“RaaS(勒索软件即服务)+定向攻击”收取高额赎金的模式。
2025年,勒索软件生态系统经历了前所未有的碎片化与重组。一方面,国际执法行动(如针对LockBit的“Operation Cronos”行动、RansomHub的突然下线)对大型勒索组织造成了冲击;另一方面,新的组织迅速涌现,既有组织不断重组、更名或建立联盟,形成了更为复杂的威胁格局。代码复用现象在2025年尤为突出,Conti、LockBit等泄露的源代码成为多个新兴组织的技术基础,导致勒索软件变体之间的界限日益模糊。同时,AI技术开始被勒索组织用于社会工程、数据分析和勒索策略优化,进一步提升了攻击的复杂性和成功率。
随着防御体系持续升级,攻击者手段愈发狡诈,漏洞武器化已成为勒索攻击的核心手段。据美国CISA统计,2025年已有245个漏洞被用于网络攻击,其中24个漏洞被发现用于勒索攻击活动,涉及Akira、Clop和QiLin等勒索攻击组织。据不完全统计,2025年中至少有115个不同名称的勒索攻击组织通过Tor网站或Telegram频道等特定信息源发布受害者信息,新增37个勒索攻击组织。这些组织发布的受害者信息涉及约7300个来自全球不同国家或地区的组织机构,覆盖多个行业。然而,实际受害者数量可能远超这一数字,因为某些情况下,攻击者可能基于多种原因选择不公开或删除信息,例如在与受害者达成协议后,或受害者支付赎金以换取信息的移除。
本次报告针对2025年攻击活跃度高、受害者信息发布数量多的10个勒索攻击组织进行盘点,包含Akira、Clop、DragonForce、INC、LockBit、Lynx、Medusa、Play、QiLin、SafePay,按组织名称首字母排序,排名不分先后。相关勒索软件及勒索攻击组织信息参考计算机病毒分类命名知识百科(https://www.virusview.net/)。
安天智甲终端防御系统(IEP)具备专项勒索软件防御能力,可对勒索攻击实现从系统加固、边界防御、扫描过滤、主动防御、文件保护的五层防护方案。
2.勒索攻击行为分类
2025年活跃的勒索攻击行为主要有以下四类:
加密文件
采用此类勒索攻击方式的攻击者会使用勒索软件执行体对数据文件进行加密,执行体通过特定加密算法(如AES、RSA、ChaCha20和Salsa20等)组合利用对文件进行加密,大多数被加密文件在未得到对应密钥的解密工具时,暂时无法解密,只有少部分受害文件因勒索软件执行体存在算法逻辑错误而得以解密。
窃取文件
采用此类勒索攻击方式的攻击者不使用勒索软件执行体对数据文件进行加密,仅在目标系统内驻留并窃取数据文件,窃密完成后通知受害者文件被窃取,如不按期支付勒索赎金,则会公开或出售窃取到的数据文件,给予受害者压力,从而迫使受害者尽早支付赎金。
窃取文件+加密文件(双重勒索)
<采用此类勒索攻击方式的攻击者发动勒索攻击前,会在目标系统内驻留一段时间,在此期间窃取数据文件,在窃取工作完成后会投放勒索软件执行体,加密系统中的文件,并通知受害者文件被窃取,如不按期支付勒索赎金,不仅现有网络环境中的文件因被加密而无法使用,而且还会公开或出售窃取到的数据文件,给予受害者压力,从而迫使受害者尽早支付赎金。/p>
多重勒索
部分组织在双重勒索基础上增加DDoS攻击或联系受害者的客户/合作伙伴,进一步施压。QiLin等组织甚至提供“法律咨询”恐吓行为,为受害者评估数据泄露的监管风险,以此增加支付压力。
3.2025年活跃勒索攻击组织盘点
回顾2025年发生的勒索软件攻击事件,根据攻击活跃度和受害者信息发布数量,对活跃的勒索攻击组织进行盘点。盘点按组织名称的首字母进行排序,排名不分先后。
表3-1 2025年活跃勒索组织概览
|
组织名称 |
出现时间 |
典型加密后缀 |
2025年发展态势 |
|
Akira |
2023年 |
.akira |
实现Nutanix AHV平台加密,采用“间歇性加密”技术,金融行业攻击事件大幅增长 |
|
Clop |
2019年 |
.clop |
采用只窃密勒索攻击模式,通过漏洞利用实现“供应链”式勒索攻击,例如Cleo MFT和Oracle EBS等漏洞 |
|
DragonForce |
2023年 |
重命名为随机字符+ ".dragonforce_encrypted" |
建立卡特尔勒索联盟,与多个攻击组织结盟,攻击多个国家关键基础设施 |
|
INC |
2023年 |
.INC |
频繁利用Citrix NetScaler相关漏洞,更新加密功能,强化VMware ESXi加密能力 |
|
LockBit |
2019年 |
字母与数字随机组合的16位个人ID |
遭受执法行动后发布5.0版本,专门优化针对SCADA、DCS等工业控制系统的攻击模块,与DragonForce、QiLin结盟 |
|
Lynx |
2024年 |
.lynx |
发布新版本,优化攻击链,强化摧毁备份功能,融合AI钓鱼工具,受害者数量大幅增长 |
|
Medusa |
2021年 |
.MEDUSA |
擅长利用远程监控管理(RMM)工具和漏洞武器化实现勒索攻击,被发现与APT组织合作 |
|
Play |
2022年 |
.PLAY |
代码与附属成员被DragonForce继承,受害者数量大幅增长 |
|
QiLin |
2022年 |
十位字母随机组合 |
与LockBit、DragonForce结盟,利用Fortinet漏洞发起大规模攻击,受害者数量大幅增长 |
|
SafePay |
2024年 |
.SafePay |
攻击范围持续扩张,新增支付系统数据库加密模块 |
3.1 Akira
Akira[1]勒索攻击组织于2023年首次出现,迅速成长为全球最具破坏力的勒索团伙之一。Akira在2025年实现了显著演进,其攻击向量从传统的Cisco VPN漏洞(CVE-2020-3259、CVE-2023-20269)扩展至大规模利用SonicWall防火墙漏洞(CVE-2024-40766、CVE-2024-53704),通过劫持VPN会话或窃取凭证绕过多因素认证获取初始访问权限。6月首次成功加密Nutanix AHV虚拟机磁盘文件,标志着其从VMware ESXi向多元化虚拟化平台的扩展。同时通过SEO投毒策略分发Bumblebee恶意软件作为初始访问工具,诱骗用户下载木马化安装程序。
攻击战术上,Akira展现出极强的隐蔽性和持久性,利用RDP、SSH和SMB协议横向移动,通过“ClickFix”社会工程技术(伪装CAPTCHA验证)诱导用户下载远控木马。Akira Rust加密器与早期C++版本并行使用,根据目标环境灵活选择,反映出其对运营效率与技术适应性并重的务实策略。
3.1.1 组织概览
|
组织名称 |
Akira |
|
出现时间 |
2023年 |
|
典型突防方式 |
有效访问凭证、未配置多重身份验证的账户、漏洞武器化 |
|
典型加密后缀 |
.akira |
|
解密工具 |
部分版本存在公开解密工具(23年6月29日前被加密文件存在解密可能) |
|
攻击目标系统 |
Windows、Linux、VMware ESXi、Nutanix AHV |
|
运营方式 |
RaaS、基于两部分勒索赎金(解密文件和删除被窃数据)和贩卖数据 |
|
侵害模式 |
加密致瘫、窃密、公开或贩卖数据 |
|
勒索信 |
|
3.2 Clop
Clop(又称Cl0p/CL0P)是与TA505组织关联、2019年起活跃的老牌勒索组织,早期作为RaaS运营,2023年后逐步转向纯数据勒索模式。2025年稳居全球最具破坏力勒索团伙第一梯队,全年凭借“零日漏洞驱动+大规模数据勒索”的核心打法成为全球勒索攻击增量的核心推手,彻底摒弃传统文件加密流程,全程聚焦敏感数据窃取与泄露施压,依托单点突破、全域收割的供应链攻击模式,快速利用零日漏洞实现大规模数据窃取,自主掌控漏洞挖掘与利用能力,弱化对RaaS模式的依赖,专攻企业级通用软件高危零日漏洞,先后在Q1利用Cleo文件传输系统漏洞公布115名受害者(预计最终可能达500家)、Q3-Q4通过Oracle EBS ERP系统高危漏洞(CVE-2025-61882)突袭哈佛大学、Envoy航空、罗技等超100家知名机构、Q4年末借助Gladinet CentreStack文件服务器漏洞(CVE-2025-11371等)针对公网暴露存储设备发起攻击,全年重点瞄准制造、运输、教育、传媒等行业的中大型机构,不仅倒逼全球企业强化供应链安全管控与通用软件漏洞修补,更推动了纯数据窃取勒索模式的普及,是2025年最具代表性的供应链勒索攻击组织之一。
3.2.1 组织概览
|
组织名称 |
Clop(又称Cl0p/CL0P) |
|
出现时间 |
2019年 |
|
典型突防方式 |
漏洞武器化、非法手段获取有效访问凭证 |
|
典型加密后缀 |
.clop |
|
解密工具 |
目前暂未发现公开的解密工具 |
|
攻击目标系统 |
Windows、Linux、VMware ESXi |
|
运营方式 |
基于勒索赎金和贩卖数据 |
|
侵害模式 |
加密致瘫、窃密、公开和贩卖窃密数据 |
|
勒索信 |
|
3.3 DragonForce
DragonForce勒索攻击组织被发现于2023年,迅速演变为混合威胁行为体。2025年,DragonForce勒索软件组织完成了从RaaS平台到“勒索软件卡特尔”(Ransomware Cartel)的重大转型,成为勒索生态中最具侵略性的新兴势力之一。该组织于3月19日正式宣布转型为“卡特尔”模式,允许附属机构使用自有品牌发动攻击,同时共享DragonForce的基础设施和工具,这一战略使其在RansomHub[2]于4月关闭后迅速吸纳其资源,并声称RansomHub决定迁移至其基础设施,邀请该组织考虑其合作提议。
技术层面,DragonForce在2025年实现了显著升级,其最新变种采用BYOVD(自带漏洞驱动)技术,利用truesight.sys和rentdrv2.sys等漏洞驱动程序终止EDR安全软件进程,并在Akira加密弱点公开后主动强化自身加密方案以避免类似漏洞;攻击范围覆盖Windows、Linux、ESXi及NAS平台,通过与Scattered Spider合作,利用其在VMware ESXi环境中的“磁盘交换”技术提取关键数据库。该组织与Scattered Spider建立了深度合作关系,后者通过高级社会工程学(如帮助台欺骗、MFA绕过)获取初始访问权限,再由DragonForce部署勒索软件,这种“访问即服务”模式在2025年4月至6月针对英国零售业的大规模攻击中造成电商瘫痪、客户数据泄露等严重影响。
2025年8月,DragonForce进一步推出“数据分析服务”,为针对年收入超过1500万美元的企业,在攻击中提供定制化勒索材料(包括勒索通话脚本、管理层信函草稿及伪法律分析报告),费用为赎金支付的0-23%。其攻击战术的复杂性和与黑客组织的紧密协作,使其成为2025年中最具威胁性的勒索攻击组织之一。
3.3.1 组织概览
|
组织名称 |
DragonForce |
|
出现时间 |
2023年 |
|
典型突防方式 |
有效访问凭证、漏洞武器化 |
|
典型加密后缀 |
重命名为随机字符+ ".dragonforce_encrypted" |
|
解密工具 |
目前暂未发现公开的解密工具 |
|
攻击目标系统 |
Windows、Linux、VMware ESXi |
|
运营方式 |
基于勒索赎金和贩卖数据 |
|
侵害模式 |
加密致瘫、窃密、公开和贩卖窃密数据 |
|
勒索信 |
|
3.4 INC
INC勒索攻击组织于2023年首次被发现,其背后的攻击组织采用双重勒索策略进行运营。2024年3月,INC组织在黑客论坛上出售其勒索软件和网络基础设施的源代码。7月,新出现的Lynx勒索攻击组织所使用的勒索软件和用于勒索攻击的网络基础设施与INC组织较为相似,后续Lynx组织声明是购买了INC组织的源代码。2025年,INC勒索攻击组织持续扩张,成为网络安全领域的主要威胁。该组织全年活动显著增长,第三季度主要针对工业领域发动攻击,反映出其从其他被瓦解的RaaS项目吸纳附属机构后的扩张成果。INC采用双重勒索模式,重点针对汽车、化工、设备制造、建筑及政府实体,同时医疗行业成为其重点攻击领域。
技术层面,INC继续推进多平台战略,其Linux和Windows版本均具备高度可配置性,采用嵌入式JSON配置文件驱动运行时行为,支持fast/medium/slow三种加密模式、选择性文件加密及安全模式启动等高级功能,通过终止关键进程和服务、清除事件日志规避检测,同时依托MEGAsync和Rclone等云存储通道窃取数据,展现出成熟的反取证能力,执行卷影副本删除、Windows备份清除及事件日志清除,全面破坏恢复证据链,自删除机制通过PowerShell和fsutil覆盖文件内容为null字节。
3.4.1 组织概览
3.5 LockBit
LockBit勒索软件[3]于2019年9月首次被发现,初期因其加密后的文件名后缀为.abcd,而被称为ABCD勒索软件。其背后的攻击组织通过RaaS和多重勒索的模式运营该勒索软件,主要通过RaaS和勒索赎金分成获利,使用该勒索软件的威胁行为体在非定向和定向模式下开展勒索攻击。该组织在2021年6月发布了勒索软件2.0版本,增加了删除磁盘卷影和日志文件的功能,同时发布专属数据窃取工具StealBit,采用“威胁曝光(出售)企业数据+加密数据”双重勒索策略。2021年8月,该组织的攻击基础设施频谱增加了对DDoS攻击的支持。2022年6月勒索软件更新至3.0版本,由于3.0版本的部分代码与BlackMatter勒索软件代码重叠,因此LockBit 3.0又被称为LockBit Black,这反映出不同勒索攻击组织间可能存在的人员流动、能力交换等情况。2023年10月,波音公司被LockBit勒索攻击组织列为受害者,安天CERT从攻击过程还原、攻击工具清单梳理、勒索样本机理、攻击致效后的多方反应、损失评估、过程可视化复盘等方面开展了分析工作,并针对事件中暴露的防御侧问题、RaaS+定向勒索的模式进行了解析,并提出了防御和治理方面的建议[4]。
2024年2月,多国执法机构联合开展的“Cronos行动”成功对LockBit勒索攻击组织造成打击,执法机构接管了该组织用于攻击的网络基础设施,并为受害者提供用于解密的密钥。此次行动并未将LockBit组织彻底剿灭,该组织在沉寂一段时间后再次开始勒索攻击活动,并于2024年12月宣布计划在2025年2月推出LockBit 4.0版本及对应RaaS服务,该版本因执法行动未能大规模部署。LockBit 5.0版本于2025年9月正式发布,标志着该组织在遭受2024年执法重创及2025年5月内部数据库泄露后的强势回归。2025年9月,DragonForce组织发布公开声明,宣布与LockBit、QiLin两大勒索软件组织形成“卡特尔联盟”。LockBit 5.0版本在技术架构上采用双阶段执行模型,分离加载器与有效载荷,通过控制流混淆、API去钩、ETW修补和DLL反射加载等高级反检测技术规避安全工具;首次实现Windows、Linux、VMware ESXi及Proxmox平台覆盖,使用强化加密方案和16字符随机文件扩展名,支持隐形操作模式(无扩展名、无勒索信、保留时间戳)以隐藏痕迹。2025年LockBit完成了从单一版本到跨平台、从独立作战到尝试联盟化的全面进化,尽管该联盟实际运营整合程度有限,但仍反映出勒索软件生态在执法高压下的适应性演变,对全球企业网络安全防御体系构成严峻挑战。
3.5.1 组织概览
|
组织名称 |
LockBit |
|
出现时间 |
2019年 |
|
典型突防方式 |
有效访问凭证、漏洞武器化、搭载其他恶意软件 |
|
典型加密后缀 |
字母与数字随机组合的16位个人ID |
|
解密工具 |
目前暂未发现公开的解密工具 |
|
攻击目标系统 |
Windows、Linux、macOS、VMware ESXi、Proxmox |
|
运营方式 |
RaaS、基于勒索赎金和贩卖数据 |
|
侵害模式 |
加密致瘫、窃密、公开或贩卖数据、DDoS干扰、向监管机构举报 |
|
勒索信样例 |
|
3.6 Lynx
Lynx勒索攻击组织被发现于2024年,通过使用INC勒索攻击组织基础设施的源代码开发而来,2025年进入快速扩张期,稳居全球活跃勒索威胁阵营,沿用经典双重勒索模式,主打窃取凭证、钓鱼攻击、购买初始访问权限三大入侵路径,搭配终止备份服务、删除卷影副本、虚拟机快照清理等战术强化威慑,加密文件后缀为.lynx,支持Windows、Linux及VMware ESXi跨平台攻击,对外宣称规避医疗、政府等公益机构,实际仍高频渗透欧美为主的全球市场,重点瞄准制造、科技、交通、能源、法律服务等高价值行业,采用高分成体系吸纳附属成员,凭借成熟的RaaS架构、稳定的攻击链路和INC遗留的技术底蕴,成为2025年最具代表性的衍生型勒索威胁。
3.6.1 组织概览
|
组织名称 |
Lynx |
|
出现时间 |
2024年 |
|
典型突防方式 |
有效访问凭证、漏洞武器化 |
|
典型加密后缀 |
.lynx |
|
解密工具 |
目前暂未发现公开的解密工具 |
|
攻击目标系统 |
Windows、Linux、VMware ESXi |
|
运营方式 |
基于勒索赎金和贩卖数据 |
|
侵害模式 |
加密致瘫、窃密、公开和贩卖窃密数据 |
|
勒索信 |
|
3.7 Medusa
Medusa勒索软件被发现于2021年,由Spearwing黑客组织以RaaS的形式运营,最初作为封闭组织运作,后逐渐扩展为附属组织模式。Medusa与早期的MedusaLocker变种、Medusa僵尸网络及Medusa移动恶意软件无关联。其攻击手法复杂,利用Microsoft Exchange、ScreenConnect、Fortinet EMS、GoAnywhere MFT等未修补漏洞获取初始访问,部署SimpleHelp、AnyDesk等RMM工具维持持久化,采用BYOVD技术禁用安全软件,使用PDQ Deploy、Rclone等合法工具进行横向移动和数据窃取,实施双重甚至三重勒索策略。2025年4月,研究人员突破其Tor匿名性揭露真实IP地址,FBI等联合机构警告其已影响大量关键基础设施组织。Medusa与Play、BianLian等组织存在附属重叠,与RansomHub共享工具。
3.7.1 组织概览
|
组织名称 |
Medusa |
|
出现时间 |
2021年 |
|
典型突防方式 |
漏洞武器化、有效访问凭证、RDP暴力破解 |
|
典型加密后缀 |
.MEDUSA |
|
解密工具 |
目前暂未发现公开的解密工具 |
|
攻击目标系统 |
Windows、Linux、VMware ESXi |
|
运营方式 |
RaaS、基于勒索赎金和贩卖数据 |
|
侵害模式 |
加密致瘫、窃密、公开和贩卖窃密数据、DDoS、联系第三方进行施压 |
|
勒索信 |
|
3.8 Play
Play(又称PlayCrypt、Balloonfly)[5]是2022年6月现身、采用封闭运营模式的老牌双重勒索攻击组织。该组织技术特点鲜明,每次攻击均重新编译定制化恶意样本以规避检测,采用AES-RSA混合加密技术,加密文件后缀为.PLAY,并同步支持Windows与VMware ESXi跨平台攻击。入侵路径多元化,主要通过购买暗网凭证、RDP/VPN暴力破解、以及利用FortiOS SSL VPN、Microsoft Exchange、SimpleHelp等高危漏洞获取初始访问,随后搭配禁用安全软件、清除日志、删除卷影副本等手段强化威慑并掩盖踪迹。
在勒索施压方面,Play组织除在暗网威胁泄露数据外,还会直接致电受害者客服、前台进行心理逼迫,迫使其支付赎金。2025年攻击规模大幅攀升,稳居全球前五活跃勒索威胁阵营。Play组织凭借高度隐秘的封闭运营、极强的反检测能力(自研Grixba窃密工具)和激进的电话施压策略,成为2025年难以防范的勒索威胁。
3.8.1 组织概览
|
组织名称 |
Play(又称PlayCrypt、Balloonfly) |
|
出现时间 |
2022年 |
|
典型突防方式 |
有效访问凭证、漏洞武器化 |
|
典型加密后缀 |
.PLAY |
|
解密工具 |
目前暂未发现公开的解密工具 |
|
攻击目标系统 |
Windows、Linux、VMware ESXi |
|
运营方式 |
基于勒索赎金和贩卖数据 |
|
侵害模式 |
加密致瘫、窃密、公开和贩卖窃密数据、联系第三方进行施压 |
|
勒索信 |
|
3.9 QiLin
QiLin(又名Agenda)被发现于2022年,采用RaaS模式运营,2022年12月将代码从Golang重构为Rust以提升加密速度与反检测能力,2025年因吸纳RansomHub瓦解后的大规模附属机构而爆发式增长,攻击量激增,超越RansomHub成为全球最活跃勒索组织。该组织采用双重勒索+多维度施压策略,除数据窃取与AES-RSA混合加密外,创新推出法律威胁功能和DDoS攻击能力,并滥用Windows Subsystem for Linux(WSL)运行Linux加密器以绕过安全检测,支持Windows与VMware ESXi跨平台攻击。入侵路径涵盖钓鱼邮件(伪装RMM工具拦截MFA)、FortiGate/SAP NetWeaver等高危漏洞利用、RDP暴力破解及供应链攻击,重点瞄准北美、欧洲、澳洲的制造、医疗、政府、关键基础设施等高停机成本行业,受害者包括英国Synnovis病理服务商、日本朝日集团、马来西亚机场控股公司等。
3.9.1 组织概览
|
组织名称 |
QiLin(又名Agenda) |
|
出现时间 |
2022年 |
|
典型突防方式 |
有效访问凭证、漏洞武器化 |
|
典型加密后缀 |
.qilin |
|
解密工具 |
目前暂未发现公开的解密工具 |
|
攻击目标系统 |
Windows、Linux、VMware ESXi |
|
运营方式 |
基于勒索赎金和贩卖数据 |
|
侵害模式 |
加密致瘫、窃密、DDoS干扰、公开和贩卖窃密数据、联系第三方进行施压、向监管机构举报 |
|
勒索信 |
|
3.10 SafePay
SafePay勒索攻击组织于2024年首次被发现,采用封闭式独立运营模式拒绝RaaS加盟,由核心团队全程把控攻击全流程。该组织以超高速攻击链著称,全年受害者数量持续增长,成为全球传播最广的网络犯罪活动之一。技术层面基于泄露的LockBit 3.0代码开发,疑似包含已解散Conti团伙成员,采用ChaCha20算法(每文件唯一密钥)加密并添加.SafePay后缀。通过禁用安全软件、清除卷影副本和事件日志强化防御规避,攻击手法涵盖购买暗网凭证、VPN网关与RDP暴力破解、配置错误防火墙利用及社会工程,重点瞄准供应链枢纽制造放大效应。2025年重大受害者包括Conduent(窃取8.5TB数据、约160万人受影响)、Ingram Micro(全球IT分销系统瘫痪)等,凭借高频次打击、精准供应链攻击和严格运营安全,成为2025年最具威胁的勒索组织之一。
3.10.1 组织概览
|
组织名称 |
SafePay |
|
出现时间 |
2024年 |
|
典型突防方式 |
非法手段获取有效访问凭证、漏洞武器化、暴力破解 |
|
典型加密后缀 |
.SafePay |
|
解密工具 |
目前暂未发现公开的解密工具 |
|
攻击目标系统 |
Windows、Linux、VMware ESXi |
|
运营方式 |
基于勒索赎金和贩卖数据 |
|
侵害模式 |
加密致瘫、窃密、公开和贩卖窃密数据 |
|
勒索信 |
|
总结
尽管各国执法机构不断加强对勒索攻击组织的打击力度,但勒索事件的数量却仍在呈现上升趋势。导致勒索攻击活跃度不降反增的因素众多:攻击者能够快速利用新漏洞,远程办公的脆弱性增加,新技术的应用为勒索软件提供了更多攻击机会;IAB通过售卖访问凭证获利,攻击者利用这些凭证实施定向攻击;人工智能技术的发展既增强了防御能力,也被攻击者用于提高攻击效率;勒索攻击组织之间的技战术互相利用,以及供应链式勒索攻击事件频发,都使得受害者数量不断增加。面对日益严峻的勒索攻击形势,尽管各国执法机构和网络安全机构已采取诸多措施加强防御和打击力度,但勒索攻击的复杂性和多样性仍给全球网络安全带来了巨大挑战。
为有效应对勒索风险,防御者需要改变对勒索攻击这一威胁的认知,并且更深入地了解定向勒索攻击的运行机理,才能构建有效的敌情想定,针对性的改善防御和响应能力。安天曾在波音遭遇勒索攻击事件分析复盘报告[4]中提出——“正确的认知是有效改善防御能力的基础”。目前国内对勒索攻击的防范,往往还停留在原有的勒索软件的阶段,还有许多人没有意识到勒索攻击已经是由持续定向入侵、窃取数据、加密数据瘫痪系统、勒索金钱、挖掘数据关联价值二次利用、贩卖数据、向监管机构举报、公开窃取数据所构成的一条价值侵害链,而且已经形成了一个规模极为庞大的犯罪产业。在这样的背景下,遭遇勒索攻击的风险已经不是简单的以数据损失和业务暂停为后果的形态,而是要付出失窃的所有数据均会被贩卖、公开等一系列的连锁风险。
面对攻击者体系化的攻击作业方式,防御者应建立体系化的防御机制和运营策略去应对勒索攻击威胁。针对体系性的攻击,必须坚持关口前移,向前部署,构成纵深,闭环运营。提升攻击者火力侦察和进展到外围地带的发现能力,降低攻击方进入到核心地带的可能性。提升网络和资产可管理性是工作的基础:主动塑造和加固安全环境、强化暴露面和可攻击面的约束和管理、强化对供应链上游入口的管控、启动全面的日志审计分析和监测运行。构建从拓扑到系统侧的防御纵深,针对攻击者探测、投放、漏洞利用、代码运行、持久化、横向移动等行为展开层层设防,特别要建设好主机系统侧防护,将其作为最后一道防线和防御基石,构建围绕执行体识别管控的细粒度治理能力。最终通过基于防御体系实现感知、干扰、阻断定向攻击杀伤链的实战运行效果。