概览
Google 警告称,随着传统加密勒索攻击的利润下降,勒索软件团伙正在转向数据盗窃以增加收入。更好的网络安全控制、改进的备份策略和更强的恢复能力使得更多受害者能够在不支付赎金的情况下恢复系统,从而直接侵蚀了犯罪分子的收入。
数据盗窃勒索的兴起
根据 Google 的威胁情报小组和 Mandiant 的事件响应数据,多个指标显示,尽管勒索操作的数量仍然很高,但整体勒索软件的利润正在下降。2025 年,勒索软件数据泄露网站上的帖子数量创下了记录,比 2024 年增加了近 50%。
数据盗窃勒索的策略
Google 报告称,2025 年约 77% 的分析勒索软件事件中包括了怀疑或确认的数据盗窃,而 2024 年这一比例为 57%。一些勒索软件即服务 (RaaS) 程序现在明确提供“数据盗窃”选项,这表明附属机构认为纯粹的勒索更为可靠。
技术手段
威胁行为者继续依赖于利用边缘基础设施的 VPN 和防火墙,以及配置错误的远程访问、凭证盗窃和暴力攻击等手段进行初始入侵。他们还越来越多地针对虚拟化环境,2025 年约 43% 的勒索软件入侵涉及 ESXi 或其他虚拟化平台。
利用 AI 和 Web3
为了保持对抗执法行动的韧性并提高运营效率,一些团伙正在尝试使用 Web3 和 AI。某些 RaaS 提供商声称在区块链基础设施或智能合约上托管谈判门户,以抵御执法行动并避免依赖 Tor。
结论
Google 警告称,虽然经典的“加密并恢复”勒索软件仍然是主要的运营威胁,但转向大规模数据盗窃和多层次勒索的经济转变将在 2026 年进一步加剧,特别是在缺乏强大备份和事件响应能力的小型组织中。