应对勒索软件的挑战：恢复能力测试

对于勒索软件而言，2025 年是“辉煌”的一年，不过我们还有五个月的时间去扭转局面。🫠它给英国各地的零售商造成了严重破坏，蹂躏了亚太地区的各种医疗机构，入侵了拉丁美洲的政府机构，并且给北美的教育系统好好“上了一课”。

犯罪团伙、黑客、脚本新手等犯罪分子虽然动机各异，但他们都将勒索软件视为攫取巨额利润的业务模式。（考虑到勒索软件团伙仅通过与 TrickBot 相关的变体，就已经勒索了总计 7.24 亿美元的加密货币。太糟糕了！）

我并不是在长他人志气灭自己威风，但现在的情况确实不容乐观。勒索软件团伙不仅积极采用多种勒索手段迫使受害者支付赎金，而且在目标选择上也变得越来越精准，这使得他们的威胁等级显著提升。多个团伙可以同时以某一个企业为目标，如果您的公司是全球性企业，那么勒索软件带来的威胁也是全球性的。

更糟糕的是，这些团伙极其狡猾——无论是技术层面的规避机制，还是逃避执法部门的手段，他们都玩得得心应手。由于团伙名称和关联关系不断变化，🎶遏制犯罪变得非常棘手🎶。

但是，从 2025 年开始真正需要关注的一个词便是恢复能力。通过提升敏捷性，并专注于快速识别威胁、及时补救和高效完成恢复，营造恢复能力文化，以此防止企业遭到这些数字犯罪分子的敲诈。

遭受勒索软件攻击后，平均停机天数竟长达 21 天，攻击者完全有充裕的时间开香槟庆祝战果。并且 21 天足以造成严重的经济和声誉损失——如果受害者是医疗保健企业，甚至会危及患者生命。

我强烈建议您阅读完整报告，但如果您现在时间比较紧张，只能快速浏览要点，那么以下是这份 SOTI 报告中的一些“干货”。

攻击者正在利用 AI 和大语言模型 (LLM)，大规模拓展攻击范围并提升攻击的复杂性和效率。FunkSec 等勒索软件团伙以及 Forest Blizzard 和 Emerald Sleet 等高级持续威胁团伙，利用生成式 AI 自动实施各种策略——从生成恶意代码、制作以假乱真的网络钓鱼电子邮件、冒充公司人员的语音钓鱼攻击，再到使用聊天机器人与受害者进行谈判，可谓无所不用其极。

WormGPT、DarkGPT 和 FraudGPT 等新出现的工具，极大地降低了网络攻击的准入门槛，使得业余黑客也能轻松地发起攻击。

攻击者已不满足于仅采用单重勒索手段，也就是不再局限于要求受害者支付用于解密被盗数据的赎金。他们实施双重、三重乃至四重勒索策略，比如威胁泄露客户信息，利用分布式拒绝服务 (DDoS) 攻击来扰乱企业正常运营，还会向业务合作伙伴、客户以及其他相关人员发送骚扰信息，包括主动向媒体告知数据泄露事件，让受害者陷入四面楚歌的境地。

此外，勒索软件攻击者还把合规要求变成实施攻击的“武器”。近期就出现了一种趋势，攻击者威胁曝光某家公司存在违反安全法规或者数据泄露披露法规的行为，一旦这类违规情况被坐实，受害企业将面临高额罚款，其数额往往远超攻击者原本索要的赎金。

勒索软件即服务 (RaaS) 已今非昔比，与早期的 REvil 和 Ryuk 时代相比有了长足进步。RaaS 自出现以来就彻底改变了勒索软件的运作方式，大幅降低了技术准入门槛，使得非专业黑客也能策划我们今天看到的成功攻击。

一些勒索软件团伙正在模糊黑客行动与获利动机之间的界限。这些混合团伙不仅利用 RaaS 平台来谋取经济利益，还借此推进意识形态或政治议程。

像 Stormous、DragonForce、KillSec、CyberVolk 以及 Dragon RaaS 这类团伙，在全球范围内对众多国家/地区的私营企业、政府机构和关键基础设施发起了一系列极具破坏性的攻击。

本 SOTI 报告还包括特别安全聚焦版块，这部分内容由 Akamai 自己的安全超级英雄 Or Zuckerman、Maor Dahan 和 James Casey 撰写，深入探讨了大家感兴趣的特定主题，包括：

• Wizard Spider（即 TrickBot），这是一个以经济利益为目的的网络犯罪团伙，他们针对医疗保健系统等关键基础设施实施攻击，并且与俄罗斯情报机构有联系

• 加密货币挖矿恶意软件（加密货币劫持程序），秘密利用受害者的资源进行加密货币挖矿来牟利；加密货币挖矿程序如今已成为全球网络犯罪的重要手段

• 勒索软件和相关法律；即，立法机构和监管机构正在努力构建法律框架，以帮助应对快速演变的勒索软件策略所带来的挑战——包括通过法律措施阻止赎金支付

网络保险费率一路飙升，与此同时，针对公司网络安全能力的审计也愈发频繁，在此形势下，企业必须制定策略，构建抵御勒索软件的恢复能力。这意味着，企业要制定清晰明确的政策与策略，以妥善应对和处理勒索软件赎金支付问题，提前为可能出现的最坏情况做好充分准备。

围绕勒索软件犯罪所形成的经济体系持续变化，针对这一威胁的防御措施也必须具备与之匹配的敏捷性。为了有效保护自身，企业必须重新定义网络恢复能力，并实施切实可行的框架，以此达成全方位防护。了解勒索软件威胁的现状，是这一过程中至关重要的第一步。