勒索軟件活動再次呈上升趨勢，受害者數量和發起攻擊的組織數量均大幅增加。Searchlight Cyber發布的一份年中新報告揭示了威脅態勢變化的迅速程度，以及為何CISO需要持續調整防御措施。

勒索軟件活動達歷史新高

今年1月至6月，勒索軟件組織在其公開的勒索網站上列出了3734名受害者。這一數字比2024年下半年增長了20%，與去年同期相比更是激增了67%。

報告顯示，自2023年初以來，勒索軟件活動持續增長，這主要得益于勒索軟件即服務模式的興起。通過允許關聯組織租用勒索軟件工具，核心組織能夠在不親自處理每次攻擊的情況下擴大其影響范圍。

報告中的五大勒索軟件組織中，大部分都采用這種模式。這有助于解釋為何即便個別組織停止活動或關閉，受害者數量仍持續攀升。

組織增多，活動頻繁

2025年上半年，報告追蹤到88個活躍的勒索軟件組織，而2024年末這一數字為76個。其中，35個是全新出現的組織，此前無任何活動記錄。

這種不斷的更迭使得防御者難以追蹤威脅。組織經常分裂、合并或更名，關聯組織也頻繁在不同組織間轉換。即便某個組織消失，其成員也很少徹底離開勒索軟件領域。

報告強調，這些變化發生得更快，增加了防御攻擊并將其歸因于特定威脅行為者的復雜性。

Searchlight Cyber的威脅情報主管Luke Donovan表示，這種不斷變化的態勢也影響了勒索軟件攻擊的方式?！袄账鬈浖M織已經意識到，加密受害者內容的效果已不如從前。備份和恢復能力的提升對這場博弈產生了影響，”Donovan解釋道，“僅數據竊取就能通過給受害者施加壓力造成更大的損害，同時減少了實施攻擊的噪音和時間消耗?！?/p>

Donovan補充說，雖然這是一種演變而非徹底變革，但它強化了加強檢測能力的必要性?！敖M織應對這種不斷變化的勒索軟件戰術、技術和程序(TTP)的方式并未發生巨大變化。雙重勒索勒索軟件攻擊一直以數據竊取為重點。然而，這確實強調了持續監控以早期發現初始訪問、橫向移動和數據竊取的必要性?！?/p>

攻擊目標所在地

觀察到的活動大多針對北美和歐洲的組織。在列出的所有受害者中，65%來自北約成員國。美國受害者數量最多，其次是加拿大、德國、英國、法國和意大利。

報告指出了這種集中的三個主要原因：高經濟價值、先進技術環境帶來的大攻擊面，以及與國家相關的組織的地緣政治動機。

初始訪問代理商加劇風險

報告還強調了初始訪問代理商(IAB)的作用，這些代理商在地下論壇上出售網絡訪問權限。這使得勒索軟件組織能夠繞過自行獲取初始訪問所需的時間和精力。

Donovan提供了一個現實中的例子，說明這些交易如何預示著攻擊的到來。“2月，一名初始訪問代理商在一個黑客論壇上發布了可訪問一家名為Alcott HR Group的組織的消息。與這類帖子一樣，代理商未透露受害者姓名，但提供了足夠的信息來確定訪問對象。18天后，Play勒索軟件組織在其勒索網站上公布了黑客論壇帖子中提到的受害者，”Donovan說。

“通過主動監控，或許能夠發現該帖子，展開調查，并實施安全措施，從而降低勒索軟件攻擊或任何未經授權訪問發生的可能性?！?/p>

Donovan指出，并非每次代理訪問交易都會導致勒索軟件攻擊，但監控這些論壇為安全團隊提供了寶貴的早期預警?！瓣P于初始訪問代理商活動的情報有助于識別指標和警告。這有助于更早地預防、檢測或阻止威脅行為者，盡早打破網絡殺傷鏈，并降低威脅行為者實現其目標的可能性?！?/p>

利用漏洞

許多最為活躍的勒索軟件組織仍依賴未修復的漏洞來獲取目標網絡的初始訪問權限。報告列出了今年被利用的幾個主要漏洞，包括那些影響流行企業軟件和網絡設備的漏洞。

這些漏洞往往被迅速利用，有時甚至在補丁發布之前。這種速度給安全團隊帶來了額外壓力，要求他們盡快識別暴露的系統并進行修復。