勒索軟件活動再次呈上升趨勢，受害者數(shù)量和發(fā)起攻擊的組織數(shù)量均大幅增加。Searchlight Cyber發(fā)布的一份年中新報告揭示了威脅態(tài)勢變化的迅速程度，以及為何CISO需要持續(xù)調(diào)整防御措施。

　　勒索軟件活動達(dá)歷史新高

　　今年1月至6月，勒索軟件組織在其公開的勒索網(wǎng)站上列出了3734名受害者。這一數(shù)字比2024年下半年增長了20%，與去年同期相比更是激增了67%。

　　報告顯示，自2023年初以來，勒索軟件活動持續(xù)增長，這主要得益于勒索軟件即服務(wù)模式的興起。通過允許關(guān)聯(lián)組織租用勒索軟件工具，核心組織能夠在不親自處理每次攻擊的情況下擴(kuò)大其影響范圍。

　　報告中的五大勒索軟件組織中，大部分都采用這種模式。這有助于解釋為何即便個別組織停止活動或關(guān)閉，受害者數(shù)量仍持續(xù)攀升。

　　組織增多，活動頻繁

　　2025年上半年，報告追蹤到88個活躍的勒索軟件組織，而2024年末這一數(shù)字為76個。其中，35個是全新出現(xiàn)的組織，此前無任何活動記錄。

　　這種不斷的更迭使得防御者難以追蹤威脅。組織經(jīng)常分裂、合并或更名，關(guān)聯(lián)組織也頻繁在不同組織間轉(zhuǎn)換。即便某個組織消失，其成員也很少徹底離開勒索軟件領(lǐng)域。

　　報告強(qiáng)調(diào)，這些變化發(fā)生得更快，增加了防御攻擊并將其歸因于特定威脅行為者的復(fù)雜性。

　　Searchlight Cyber的威脅情報主管Luke Donovan表示，這種不斷變化的態(tài)勢也影響了勒索軟件攻擊的方式。“勒索軟件組織已經(jīng)意識到，加密受害者內(nèi)容的效果已不如從前。備份和恢復(fù)能力的提升對這場博弈產(chǎn)生了影響，”Donovan解釋道，“僅數(shù)據(jù)竊取就能通過給受害者施加壓力造成更大的損害，同時減少了實施攻擊的噪音和時間消耗。”

　　Donovan補(bǔ)充說，雖然這是一種演變而非徹底變革，但它強(qiáng)化了加強(qiáng)檢測能力的必要性。“組織應(yīng)對這種不斷變化的勒索軟件戰(zhàn)術(shù)、技術(shù)和程序(TTP)的方式并未發(fā)生巨大變化。雙重勒索勒索軟件攻擊一直以數(shù)據(jù)竊取為重點。然而，這確實強(qiáng)調(diào)了持續(xù)監(jiān)控以早期發(fā)現(xiàn)初始訪問、橫向移動和數(shù)據(jù)竊取的必要性。”

　　攻擊目標(biāo)所在地

　　觀察到的活動大多針對北美和歐洲的組織。在列出的所有受害者中，65%來自北約成員國。美國受害者數(shù)量最多，其次是加拿大、德國、英國、法國和意大利。

　　報告指出了這種集中的三個主要原因：高經(jīng)濟(jì)價值、先進(jìn)技術(shù)環(huán)境帶來的大攻擊面，以及與國家相關(guān)的組織的地緣政治動機(jī)。

　　初始訪問代理商加劇風(fēng)險

　　報告還強(qiáng)調(diào)了初始訪問代理商(IAB)的作用，這些代理商在地下論壇上出售網(wǎng)絡(luò)訪問權(quán)限。這使得勒索軟件組織能夠繞過自行獲取初始訪問所需的時間和精力。

　　Donovan提供了一個現(xiàn)實中的例子，說明這些交易如何預(yù)示著攻擊的到來。“2月，一名初始訪問代理商在一個黑客論壇上發(fā)布了可訪問一家名為Alcott HR Group的組織的消息。與這類帖子一樣，代理商未透露受害者姓名，但提供了足夠的信息來確定訪問對象。18天后，Play勒索軟件組織在其勒索網(wǎng)站上公布了黑客論壇帖子中提到的受害者，”Donovan說。

　　“通過主動監(jiān)控，或許能夠發(fā)現(xiàn)該帖子，展開調(diào)查，并實施安全措施，從而降低勒索軟件攻擊或任何未經(jīng)授權(quán)訪問發(fā)生的可能性。”

　　Donovan指出，并非每次代理訪問交易都會導(dǎo)致勒索軟件攻擊，但監(jiān)控這些論壇為安全團(tuán)隊提供了寶貴的早期預(yù)警。“關(guān)于初始訪問代理商活動的情報有助于識別指標(biāo)和警告。這有助于更早地預(yù)防、檢測或阻止威脅行為者，盡早打破網(wǎng)絡(luò)殺傷鏈，并降低威脅行為者實現(xiàn)其目標(biāo)的可能性。”

　　利用漏洞

　　許多最為活躍的勒索軟件組織仍依賴未修復(fù)的漏洞來獲取目標(biāo)網(wǎng)絡(luò)的初始訪問權(quán)限。報告列出了今年被利用的幾個主要漏洞，包括那些影響流行企業(yè)軟件和網(wǎng)絡(luò)設(shè)備的漏洞。

　　這些漏洞往往被迅速利用，有時甚至在補(bǔ)丁發(fā)布之前。這種速度給安全團(tuán)隊帶來了額外壓力，要求他們盡快識別暴露的系統(tǒng)并進(jìn)行修復(fù)。