勒索软件活动再次呈上升趋势,受害者数量和发起攻击的组织数量均大幅增加。Searchlight Cyber发布的一份年中新报告揭示了威胁态势变化的迅速程度,以及为何CISO需要持续调整防御措施。
勒索软件活动达历史新高
今年1月至6月,勒索软件组织在其公开的勒索网站上列出了3734名受害者。这一数字比2024年下半年增长了20%,与去年同期相比更是激增了67%。
报告显示,自2023年初以来,勒索软件活动持续增长,这主要得益于勒索软件即服务模式的兴起。通过允许关联组织租用勒索软件工具,核心组织能够在不亲自处理每次攻击的情况下扩大其影响范围。
报告中的五大勒索软件组织中,大部分都采用这种模式。这有助于解释为何即便个别组织停止活动或关闭,受害者数量仍持续攀升。
组织增多,活动频繁
2025年上半年,报告追踪到88个活跃的勒索软件组织,而2024年末这一数字为76个。其中,35个是全新出现的组织,此前无任何活动记录。
这种不断的更迭使得防御者难以追踪威胁。组织经常分裂、合并或更名,关联组织也频繁在不同组织间转换。即便某个组织消失,其成员也很少彻底离开勒索软件领域。
报告强调,这些变化发生得更快,增加了防御攻击并将其归因于特定威胁行为者的复杂性。
Searchlight Cyber的威胁情报主管Luke Donovan表示,这种不断变化的态势也影响了勒索软件攻击的方式。“勒索软件组织已经意识到,加密受害者内容的效果已不如从前。备份和恢复能力的提升对这场博弈产生了影响,”Donovan解释道,“仅数据窃取就能通过给受害者施加压力造成更大的损害,同时减少了实施攻击的噪音和时间消耗。”
Donovan补充说,虽然这是一种演变而非彻底变革,但它强化了加强检测能力的必要性。“组织应对这种不断变化的勒索软件战术、技术和程序(TTP)的方式并未发生巨大变化。双重勒索勒索软件攻击一直以数据窃取为重点。然而,这确实强调了持续监控以早期发现初始访问、横向移动和数据窃取的必要性。”
攻击目标所在地
观察到的活动大多针对北美和欧洲的组织。在列出的所有受害者中,65%来自北约成员国。美国受害者数量最多,其次是加拿大、德国、英国、法国和意大利。
报告指出了这种集中的三个主要原因:高经济价值、先进技术环境带来的大攻击面,以及与国家相关的组织的地缘政治动机。
初始访问代理商加剧风险
报告还强调了初始访问代理商(IAB)的作用,这些代理商在地下论坛上出售网络访问权限。这使得勒索软件组织能够绕过自行获取初始访问所需的时间和精力。
Donovan提供了一个现实中的例子,说明这些交易如何预示着攻击的到来。“2月,一名初始访问代理商在一个黑客论坛上发布了可访问一家名为Alcott HR Group的组织的消息。与这类帖子一样,代理商未透露受害者姓名,但提供了足够的信息来确定访问对象。18天后,Play勒索软件组织在其勒索网站上公布了黑客论坛帖子中提到的受害者,”Donovan说。
“通过主动监控,或许能够发现该帖子,展开调查,并实施安全措施,从而降低勒索软件攻击或任何未经授权访问发生的可能性。”
Donovan指出,并非每次代理访问交易都会导致勒索软件攻击,但监控这些论坛为安全团队提供了宝贵的早期预警。“关于初始访问代理商活动的情报有助于识别指标和警告。这有助于更早地预防、检测或阻止威胁行为者,尽早打破网络杀伤链,并降低威胁行为者实现其目标的可能性。”
利用漏洞
许多最为活跃的勒索软件组织仍依赖未修复的漏洞来获取目标网络的初始访问权限。报告列出了今年被利用的几个主要漏洞,包括那些影响流行企业软件和网络设备的漏洞。
这些漏洞往往被迅速利用,有时甚至在补丁发布之前。这种速度给安全团队带来了额外压力,要求他们尽快识别暴露的系统并进行修复。
