勒索软件攻击激增67%，数据窃取正取代加密成新威胁

最新研究报告指出，勒索软件威胁在2025年上半年再次创下历史新高，受害者数量较去年同期激增67%。勒索软件即服务模式导致攻击组织数量急剧增加且迭代频繁，令防御者难以有效追踪。随着企业备份与恢复能力不断提升，网络犯罪分子正从单纯加密转向数据窃取施压，并借助初始访问代理商与未修复漏洞加速入侵进程。

勒索软件活动呈现持续上升态势，无论是受害者规模还是活跃攻击组织数量均大幅增长。Searchlight Cyber发布的一份年中报告揭示了威胁态势的快速演变，以及为何首席信息安全官需要持续调整防护策略。

勒索软件活动量达历史新高

今年1月至6月期间，勒索软件组织在其公开的勒索网站上累计列出了3734名受害者。这一数字较2024年下半年增长了20%，与去年同期相比更是飙升了67%。

报告显示，自2024年初以来，勒索软件活动持续增长，这主要得益于勒索软件即服务模式的兴起。通过允许关联组织租用勒索软件工具，核心组织得以在不亲自处理每次攻击的情况下扩大其影响范围。

报告中涉及的主要勒索软件组织中，大部分都采用这种运营模式。这有助于解释为何即使个别组织停止活动或关闭，受害者数量依然持续攀升。

攻击组织增多，活动频繁

2025年上半年，报告追踪到88个活跃的勒索软件组织，而2024年末这一数字为76个。其中，35个是全新出现的组织，此前没有任何活动记录。

这种持续迭代使得防御者难以有效追踪威胁态势。组织经常发生分裂、合并或更名，关联组织也在不同组别间频繁转换。即使某个组织消失，其成员也很少完全退出勒索软件领域。

报告强调，这些变化发生得越来越快，增加了防御方将攻击归因于特定威胁行为者的复杂性。

Searchlight Cyber威胁情报主管Luke Donovan表示，这种动态变化的态势也影响了勒索软件的攻击方式。“勒索软件组织已经意识到，单纯加密受害者内容的效果不如从前。备份和恢复能力的提升改变了这场博弈的格局，”Donovan解释说，“仅通过数据窃取就能对受害者施加压力造成更大损害，同时减少了实施攻击的噪音和时间消耗。”

Donovan补充道，虽然这是一种演变而非彻底变革，但它强化了加强检测能力的必要性。“组织应对这种不断变化的勒索软件战术、技术和程序的方式并未发生巨大变化。双重勒索模式始终以数据窃取为重点。然而，这确实强调了持续监控的必要性，以便早期发现初始访问、横向移动和数据窃取行为。”

攻击目标所在地

观测到的攻击活动大多针对北美和欧洲的组织。在所有列出的受害者中，65%来自北约成员国。美国受害者数量最多，其次是加拿大、德国、英国、法国和意大利。

报告指出了这种集中分布的三个主要原因：高经济价值、先进技术环境带来的大攻击面，以及与国家相关组织的地缘政治动机。

初始访问代理商加剧风险

报告还强调了初始访问代理商的作用，这些代理商在地下论坛出售网络访问权限。这使得勒索软件组织能够绕过自行获取初始访问所需的时间和精力。

Donovan提供了一个现实案例，说明这些交易如何预示着攻击的到来。“2月份，一名初始访问代理商在一个黑客论坛上发布了一条消息，称可以访问名为Alcott HR Group的组织。与这类帖子一样，代理商未透露受害者姓名，但提供了足够的信息来确定访问对象。18天后，Play勒索软件组织在其勒索网站上公布了黑客论坛帖子中提到的受害者，”Donovan说道。

“通过主动监控，或许能够发现该帖子，展开调查，并实施安全措施，从而降低勒索软件攻击或任何未经授权访问发生的可能性。”

Donovan指出，并非每次代理访问交易都会导致勒索软件攻击，但监控这些论坛为安全团队提供了宝贵的早期预警。“关于初始访问代理商活动的情报有助于识别指标和警告。这有助于更早地预防护、检测或阻止威胁行为者，尽早打破网络杀伤链，并降低威胁行为者实现其目标的可能性。”

利用漏洞

许多最活跃的勒索软件组织仍然依赖未修复的漏洞来获取目标网络的初始访问权限。报告列出了今年被利用的几个主要漏洞，包括那些影响流行企业软件和网络设备的漏洞。

这些漏洞往往被迅速利用，有时甚至在补丁发布之前。这种速度给安全团队带来了额外压力，要求他们尽快识别暴露的系统并进行修复。