SevenTnewS

网络安全

勒索软件复兴:1.2亿美元赎金、三重勒索与数字勒索新规则

2025年至2026年的勒索软件攻击规模前所未有。赎金要求高达1.2亿美元。犯罪团伙已转变为专业化公司。他们以手术般的精准度攻击医院、电网和软件供应链。这不是一次激增,而是一场结构性变革。

Emmanuel Fabrice Omgbwa Yasse

2026-06-30 · 阅读需 5 分钟

勒索软件复兴:1.2亿美元赎金、三重勒索与数字勒索新规则

2025年和2026年的勒索软件格局与两年前组织所面临的景象截然不同。过去由低技能行为者运行的“广撒网”运作,已让位于一个价值数十亿美元的犯罪行业。想想企业结构、不懈的创新,以及令人瞠目的财务要求。 first-fully-ai-run-ransomware-attack-discovered-by-sysdig-researchers

从事件响应公司、威胁情报平台以及泄露的暗网论坛汇总的数据描绘了一幅严峻的画面:勒索软件不仅幸存下来,而且其演变速度超过了许多防御措施。 the-rising-tide-of-ai-powered-phishing-why-traditional-defenses-are-failing

创纪录的赎金要求与支付

最引人注目的趋势是赎金要求的规模之大。2025年初,一家跨国医疗保健集团遭遇了1.2亿美元的赎金要求,这是历史上公开记录中最大的一笔。受害者拒绝支付。但其他组织已悄悄汇出八位数金额以恢复运营。根据Coveware和Chainalysis的数据,2025年第一季度平均赎金支付额同比跃升38%,达到120万美元。到2025年第三季度,该数字攀升至160万美元,这得益于少数几笔在1000万至5000万美元范围内的大额支付。 cisa-adds-microsoft-sharepoint-server-vulnerability-to-exploited-list-as-parallel-ransomware-attacks-emerge

如今的犯罪集团利用数据来设定赎金价格。他们仔细查阅泄露的保险文件和财务披露,以精确调整赎金要求,使之符合受害者的支付能力和意愿。“大猎物狩猎”策略, , 挑选资金雄厚的大型企业, , 已成为标准操作手册。

专业化勒索软件集团的兴起

单一主导勒索软件变种的时代已经结束。取而代之的是,数十个专业化的集团已经出现,每个都专注于特定的行业、地区或技术。值得注意的新参与者包括:

  • VoidCrypt v3,一个专门针对能源电网和公用事业的集团,使用为SCADA系统定制的漏洞。
  • PhantomLace,专注于云原生环境,利用配置错误的Kubernetes集群和无服务器功能进行初始访问。
  • RansackAI,首个集成大型语言模型用于自动谈判、受害者画像甚至代码混淆的勒索软件集团。 first-fully-ai-run-ransomware-attack-discovered-by-sysdig-researchers

已有集团也已适应。LockBit 4.0于2024年底发布,引入模块化架构,让联盟成员选择针对特定行业(从医疗保健到制造业)定制的插件,据估计将感染成功率提高了25%。

行业转变:关键基础设施成为攻击目标

最令人担忧的发展之一是对关键基础设施的蓄意攻击。2025年,针对医疗保健、能源、水务和交通运输的攻击占所有勒索软件事件的41%,高于2023年的28%。报告显示,威胁行为者不再回避可能造成生命损失的行业,而是积极追猎这些行业,因为他们知道运营上的紧迫性意味着更快的赎金支付。 from-zero-days-to-autonomous-defense-how-ai-agents-are-rewriting-cybersecurity

医疗保健行业遭受的打击最为严重:2025年有超过180家医院和诊所网络遭到攻击,导致手术取消、救护车改道,以及至少三起有记录的患者因延误治疗而死亡的事件。欧洲和北美的能源基础设施攻击导致了局部停电,并迫使工业设施停产数天。

供应链与勒索软件即服务2.0

勒索软件即服务(RaaS)已发展成为一个成熟的生态系统。联盟成员的招募现在模仿合法软件合作伙伴关系,包括分级佣金结构、营销材料甚至培训计划。数据显示,普通联盟成员每年可赚取30万至90万美元,吸引了来自犯罪圈子以及合法技术行业的人才。

供应链入侵已成为首选攻击向量。通过瞄准托管服务提供商(MSP)、软件供应商和云平台,攻击者可以在一次行动中入侵数百名受害者。Kaseya式的攻击不再是例外,而是一种模板。2025年,十起重大的供应链勒索软件事件各自影响了超过1000家下游组织。

勒索手段演变:三重勒索成为标准

三重勒索, , 加密数据、窃取数据用于拍卖以及实施DDoS攻击, , 现已成为标准做法。一些集团还增加了第四层:直接通过电子邮件或社交媒体通知受害者的客户、合作伙伴或监管机构,从而加剧法律和声誉压力。勒索的心理维度正被系统性地利用。

数据泄露网站已转变为专业化的市场,提供可搜索的数据库、样本预览以及独家访问被盗数据集的竞价战。2025年,从初始访问到数据发布的平均时间从12天缩短至7天,这得益于自动化的数据窃取管道。

防御应对措施与AI的作用

防御方并未停滞不前。报告强调,采用AI驱动的检测和响应工具的情况激增。行为分析、异常检测和自动遏制已将成熟安全运营组织的平均驻留时间从2023年的10天降至2025年的仅3天。但攻击者也在使用AI:制作更具说服力的钓鱼诱饵、逃避端点检测系统,以及在数小时内对补丁进行逆向工程。 the-rising-tide-of-ai-powered-phishing-why-traditional-defenses-are-failing

猫鼠游戏已经加剧。显而易见的是,勒索软件无法仅靠技术解决。组织韧性、网络安全保险改革以及国际执法合作现在同样至关重要。 teen-accused-in-scattered-spider-hacking-crew-extradited-to-the-us

2026年及未来展望

如果当前趋势持续,2026年将带来更高的专业化程度、更高的赎金要求以及AI在攻击与防御中的更深层整合。威胁情报指出,将出现按特许经营模式运营的勒索软件集团,向非技术人员提供交钥匙服务。矛盾的是,勒索软件的普及将与最高影响攻击集中于少数精英集团并存。

那些将勒索软件视为董事会层面的风险、投资于主动威胁狩猎并演练事件响应计划的组织将表现更好。但根本的驱动因素, , 财务回报、起诉风险低以及似乎无穷无尽的可利用漏洞供应, , 没有显示出减弱的迹象。

2025-2026年的勒索软件复兴并非一场短暂的暴风雨。它是一种新的气候常态。