勒索軟件攻擊作為全球網(wǎng)絡(luò)安全領(lǐng)域最具破壞性、最具經(jīng)濟(jì)影響力的威脅之一，在過去十年中呈現(xiàn)出持續(xù)產(chǎn)業(yè)化、鏈條化與高收益化的發(fā)展態(tài)勢。隨著AI技術(shù)的規(guī)模普化應(yīng)用，漏洞利用武器庫持續(xù)擴(kuò)張、暗網(wǎng)黑產(chǎn)生態(tài)進(jìn)一步成熟，勒索攻擊呈現(xiàn)出更高效率、更強(qiáng)自動化與更高破壞性的趨勢。

截至報告發(fā)布時間，各種新的勒索事件還在不斷披露，如加密安卓手機(jī)的惡意軟件DroidLock，羅馬尼亞的國家水務(wù)管理局的勒索事件。攻擊目標(biāo)不再只針對企業(yè)， 更涉及個人、國家基礎(chǔ)設(shè)施。

為幫助企業(yè)CISO及安全運(yùn)營團(tuán)隊洞察最新勒索攻擊態(tài)勢，了解行業(yè)最新的政策要求、防護(hù)技術(shù)和解決方案，幫助企業(yè)在當(dāng)前環(huán)境下如何提升防護(hù)能力，安全牛團(tuán)隊正式啟動《AI驅(qū)動的勒索軟件威脅與防護(hù)技術(shù)應(yīng)用指南》調(diào)研工作。

目前報告研究工作已全部完成，包括：最新趨勢、攻擊組織和特征、挑戰(zhàn)分析、防護(hù)模型與關(guān)鍵技術(shù)、國內(nèi)外廠商能力研究、反勒索能力建設(shè)路徑等九章節(jié)內(nèi)容。安全?！禔I驅(qū)動的勒索軟件威脅與防護(hù)技術(shù)應(yīng)用指南（2025版）》于今日正式發(fā)布。

【掃碼獲取完整報告搶鮮閱讀】

報告關(guān)鍵發(fā)現(xiàn)

• 威脅態(tài)勢：從全球受勒索攻擊的組織看，2023年是勒索事件數(shù)量和贖金規(guī)模爆發(fā)式增長的重要拐點。以北美、歐洲為代表的數(shù)字化發(fā)達(dá)國家仍然是重點目標(biāo)，但亞太、中東、拉美地區(qū)攻擊增速更快，攻擊范圍整體呈現(xiàn)全球化擴(kuò)散的態(tài)勢。

• AI賦能勒索：AI賦能下，勒索攻擊進(jìn)入“高度自動化、生態(tài)成熟化、攻擊鏈智能化”的新階段，勒索攻擊在攻擊手段、攻擊鏈、攻擊策略上都有大幅提升。其中，AI賦能勒索攻擊的典型表現(xiàn)包括：攻擊效率提升與贖金談判優(yōu)化，攻擊鏈條可編排與流水線化，攻擊平臺武器化與低門檻化。

• 廠商調(diào)研來看：勒索軟件防護(hù)已突破單一殺毒軟件的局限，演進(jìn)為多層次、多技術(shù)深度融合的綜合防御體系。國外反勒索防護(hù)方案整體表現(xiàn)為“多層防護(hù)+端點安全+鏈路檢測+響應(yīng)處置+數(shù)據(jù)不可變”為主。國內(nèi)，更多是圍繞“入口預(yù)防、行為檢測和響應(yīng)、數(shù)據(jù)檢測和備份、攻擊面與情報驅(qū)動防護(hù)”等核心能力展開。

• 未來：12–36個月內(nèi)，勒索攻擊戰(zhàn)術(shù)上將進(jìn)入“AI加速與多重勒索常態(tài)化”階段。勒索攻防的核心矛盾將是“攻擊自動化速度”對“防御檢測/恢復(fù)速度”的壓迫。響應(yīng)速度與數(shù)據(jù)治理是企業(yè)防護(hù)能力建設(shè)的重點，同時身份威脅檢測（ITDR）與自動化恢復(fù)編排將成為企業(yè)防護(hù)能力建設(shè)的新重點。

一、 勒索攻擊演進(jìn)歷程及階段劃分

勒索軟件（Ransomware）的本質(zhì)類似木馬和病毒的一種惡意軟件。其演進(jìn)與信息技術(shù)發(fā)展、網(wǎng)絡(luò)防護(hù)水平提升、黑灰產(chǎn)分工深化緊密相關(guān)，整體可劃分為四個關(guān)鍵階段，呈現(xiàn)出“技術(shù)復(fù)雜度遞增、攻擊影響擴(kuò)大、產(chǎn)業(yè)化程度加深”的核心特征。

二、 全球勒索攻擊的威脅態(tài)勢

從全球受攻擊組織數(shù)量看，勒索事件數(shù)量在2023年出現(xiàn)爆發(fā)式增長。相關(guān)研究數(shù)據(jù)顯示：2023年全球勒索攻擊數(shù)量達(dá)4,500萬+（較2022年增長35%），同比增長近70%。

行業(yè)分布高度集中在制造業(yè)（尤其是離散制造）、醫(yī)療衛(wèi)生與公共服務(wù)部門、教育行業(yè)、金融與保險、政府與關(guān)鍵基礎(chǔ)設(shè)施（能源、交通、水利）。其中，制造業(yè)（20%）、醫(yī)療（15%）和金融（10%），因其OT系統(tǒng)脆弱性和數(shù)據(jù)高價值，為重災(zāi)區(qū)；教育、政府機(jī)構(gòu)及非營利組織（約15%），主因遠(yuǎn)程辦公擴(kuò)大攻擊面，勒索占比也呈現(xiàn)明顯上升趨勢。

從組織類型來看，勒索攻擊實現(xiàn)了對大中小型組織的全范圍覆蓋，中小企業(yè)與公共服務(wù)機(jī)構(gòu)成為攻擊“重災(zāi)區(qū)”。中小企業(yè)因防御資源有限、恢復(fù)能力薄弱，在受影響企業(yè)中占比達(dá)三分之二，且常被作為滲透上游大型企業(yè)的跳板。

地域分布上，以北美、歐洲為代表的數(shù)字化發(fā)達(dá)國家仍然是重點目標(biāo)，但亞太、中東、拉美地區(qū)攻擊增速更快，攻擊范圍整體呈現(xiàn)全球化擴(kuò)散的態(tài)勢。

三、 勒索威脅的最新趨勢

2022年以來勒索攻擊開始進(jìn)入精準(zhǔn)化與智能化升級階段。從最新態(tài)勢來看，勒索威脅在技術(shù)應(yīng)用、攻擊范圍、商業(yè)模式、影響維度等方面呈現(xiàn)出多項全新趨勢，這些趨勢相互交織，進(jìn)一步加劇了威脅的復(fù)雜性與破壞性。具體可概括為以下五大核心趨勢。

（一）AI技術(shù)深度賦能，攻擊精準(zhǔn)度與隱蔽性雙提升

人工智能技術(shù)已成為勒索攻擊的核心賦能工具，全面優(yōu)化攻擊全流程。AI技術(shù)的應(yīng)用，使勒索攻擊從“標(biāo)準(zhǔn)化”轉(zhuǎn)向“個性化”，大幅提升了攻擊成功率與隱蔽性。

（二）攻擊范圍向產(chǎn)業(yè)鏈延伸，供應(yīng)鏈攻擊成核心手段

傳統(tǒng)單一企業(yè)攻擊的威懾力已無法滿足黑灰產(chǎn)的變現(xiàn)需求，攻擊者開始瞄準(zhǔn)產(chǎn)業(yè)鏈、供應(yīng)鏈中的核心節(jié)點企業(yè)（如大型供應(yīng)商、第三方服務(wù)提供商、云服務(wù)廠商）實施攻擊，通過“單點突破、全鏈滲透”的方式，引發(fā)全產(chǎn)業(yè)鏈的連鎖反應(yīng)，放大勒索威懾力。供應(yīng)鏈攻擊憑借“攻擊成本低、影響范圍廣、威懾力強(qiáng)”的優(yōu)勢，已成為當(dāng)前勒索威脅的核心發(fā)展趨勢之一。

（三）“無加密勒索”興起，攻擊門檻與隱蔽性再降低

近年來，“無加密勒索”模式快速興起，成為主流攻擊形式。此類攻擊無需部署任何加密程序，攻擊者僅通過社會工程、漏洞利用等方式竊取目標(biāo)企業(yè)的敏感數(shù)據(jù)（如財務(wù)報表、客戶信息、商業(yè)機(jī)密），隨后威脅將數(shù)據(jù)在暗網(wǎng)公開或出售，即可完成勒索變現(xiàn)?！盁o加密勒索”大幅降低了攻擊門檻，非專業(yè)攻擊者也可通過購買初始訪問權(quán)限、數(shù)據(jù)竊取工具等配套服務(wù)實施攻擊；同時，由于無惡意載荷部署、無文件加密行為，傳統(tǒng)安全設(shè)備難以檢測，攻擊隱蔽性極強(qiáng)。行業(yè)報告顯示，2024年全球“無加密勒索”攻擊占比已達(dá)68%，遠(yuǎn)超傳統(tǒng)加密攻擊。

（四）威脅地域全球化擴(kuò)散，新興市場成攻擊新焦點

早期勒索攻擊主要集中于北美、歐洲等數(shù)字化發(fā)達(dá)國家，隨著這些地區(qū)企業(yè)防護(hù)體系的完善，攻擊者開始將目標(biāo)轉(zhuǎn)向亞太、中東、拉美等新興市場。這些地區(qū)的企業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程加快，但網(wǎng)絡(luò)安全防護(hù)能力相對薄弱，且部分國家監(jiān)管體系不完善、執(zhí)法協(xié)作難度大，成為勒索攻擊的“新藍(lán)?！?。從數(shù)據(jù)來看，北美、歐洲仍占據(jù)全球勒索攻擊的主導(dǎo)地位（合計占比超75%），但亞太地區(qū)的攻擊增速已連續(xù)三年位居全球首位，其中東南亞、南亞等地區(qū)的攻擊次數(shù)同比增長均超100%。

（五）產(chǎn)業(yè)化分工持續(xù)深化，威脅生態(tài)日趨完善

勒索威脅的產(chǎn)業(yè)化分工已從早期的“開發(fā)－攻擊”二元分工，演變?yōu)楦采w“情報收集、初始訪問、內(nèi)網(wǎng)滲透、數(shù)據(jù)竊取、勒索談判、資金洗白”等全流程的多元分工體系。除核心的RaaS模式外，地下市場已形成完善的配套服務(wù)生態(tài)，攻擊者可按需購買“釣魚即服務(wù)（PhaaS）”“初始訪問代理（IAB）”“數(shù)據(jù)竊取工具租賃”“贖金談判代理”“虛擬貨幣洗白”等全鏈路服務(wù)。這種高度細(xì)分的產(chǎn)業(yè)化模式，使攻擊能力實現(xiàn)“模塊化、服務(wù)化”輸出，不僅降低了攻擊門檻，更提升了攻擊的協(xié)同效率與成功率。同時，黑灰產(chǎn)的全球化協(xié)作特征顯著，不同地區(qū)的黑客團(tuán)隊通過暗網(wǎng)平臺實現(xiàn)技術(shù)共享、資源互補(bǔ)，進(jìn)一步推動了勒索威脅的全球化擴(kuò)散。

（六）SaaS與云原生勒索崛起：利用OAuth令牌竊取數(shù)據(jù)

隨著企業(yè)大量使用SaaS應(yīng)用（如Microsoft 365, Salesforce, Slack），攻擊者開始利用“OAuth令牌濫用”作為新型勒索手段。不同于傳統(tǒng)的惡意軟件植入，此類攻擊通過誘導(dǎo)用戶授權(quán)惡意SaaS應(yīng)用，竊取OAuth令牌，從而繞過MFA（多因素認(rèn)證）直接訪問云端數(shù)據(jù)。攻擊者無需入侵終端設(shè)備，即可加密或竊取云端SharePoint、OneDrive中的核心文件，實施“云端勒索”。2025年數(shù)據(jù)顯示，針對SaaS平臺的OAuth授權(quán)攻擊占比已達(dá)18%，且因為不涉及傳統(tǒng)惡意文件落地，極易逃避傳統(tǒng)端點防護(hù)的檢測。

四、 系統(tǒng)化架構(gòu)與實現(xiàn)技術(shù)

在AI加速勒索攻擊的背景下，傳統(tǒng)“被動響應(yīng)”式防護(hù)體系已無法應(yīng)對動態(tài)演化的威脅。AI環(huán)境下的勒索防護(hù)需以“主動防御”為核心原則，突破單點防御局限，建立覆蓋攻擊生命周期的動態(tài)架構(gòu)。

安全牛結(jié)合“主動防御”理念提出AI驅(qū)動的新一代勒索防護(hù)系統(tǒng)化方法，強(qiáng)調(diào)將AI能力深度融入防護(hù)全鏈條，實現(xiàn)從靜態(tài)防御到動態(tài)適應(yīng)的范式轉(zhuǎn)變?！爸鲃臃烙男乱淮账鞣雷o(hù)框架”以“預(yù)防–檢測–響應(yīng)–恢復(fù)”（PDRR）為基礎(chǔ)，融合零信任原則與AI原生安全能力，通過技術(shù)整合與指標(biāo)量化，構(gòu)建可衡量、可迭代的防護(hù)體系。

從實現(xiàn)技術(shù)來看，報告基于調(diào)研將勒索防護(hù)技術(shù)分為基礎(chǔ)防護(hù)技術(shù)、增強(qiáng)防護(hù)技術(shù)和AI勒索防護(hù)技術(shù)三大類。

基礎(chǔ)防護(hù)是勒索防御的“第一道防線”，也是AI賦能的前提。具體技術(shù)包括：漏洞管理、資產(chǎn)管理、補(bǔ)丁管理等。

增強(qiáng)防護(hù)重點解決傳統(tǒng)方案的固有缺陷。具體技術(shù)包括：EDR/XDR/SOAR、AI驅(qū)動異常行為檢測、加密行為檢測與勒索早期識別技術(shù)、數(shù)據(jù)安全與自動化恢復(fù)編排技術(shù)、身份威脅檢測與響應(yīng)（ITDR）。

AI勒索防護(hù)技術(shù)在勒索防護(hù)體系中，AI不僅是工具，更是將防護(hù)體系從“被動響應(yīng)”轉(zhuǎn)變?yōu)椤邦A(yù)測—推演—自愈”主動安全模式的核心引擎。其核心能力包括：自適應(yīng)威脅建模與攻擊路徑預(yù)測、AI輔助溯源與事件關(guān)聯(lián)、生成式AI輔助應(yīng)急響應(yīng)等。

五、 未來發(fā)展趨勢

隨著AI技術(shù)的高速演進(jìn)、攻擊生態(tài)的組織化加劇以及國家層面數(shù)據(jù)安全與關(guān)鍵基礎(chǔ)設(shè)施保護(hù)要求持續(xù)提升，勒索軟件攻防正在進(jìn)入新一輪技術(shù)躍遷周期。報告從勒索演變、攻防對抗態(tài)勢、產(chǎn)品和技術(shù)體系、監(jiān)管政策維度分析未來發(fā)展趨勢，為組織規(guī)劃中長期反勒索能力提供參考。

（一）勒索軟件威脅演變趨勢

勒索攻擊戰(zhàn)術(shù)上已經(jīng)進(jìn)入“AI加速與多重勒索常態(tài)化”階段。首先，由于AI和RaaS平臺的使用，勒索門檻進(jìn)一步降低，勒索團(tuán)伙更加碎片化，活躍勒索團(tuán)伙總體數(shù)量在上升，攻擊生態(tài)變得更大、分工更細(xì)。其次，勒索行為的操作模式已從早期“只加密”演變?yōu)椤皵?shù)據(jù)竊取+多重勒索”常態(tài)化。攻擊者更傾向于先竊取敏感數(shù)據(jù)、利用公開威脅、同時威脅第三方（客戶/合作伙伴）進(jìn)行多重勒索。

（二）AI攻防對抗趨勢

AI驅(qū)動勒索攻防“雙向加速”，未來3–5年，勒索軟件攻防的核心矛盾將是攻擊AI自動化速度vs防御AI檢測與響應(yīng)速度。攻擊方，未來勒索軟件攻擊的核心變化在于“自動化+智能化”的大幅增強(qiáng)。特別是模型輔助攻擊鏈自動生成、多模態(tài)攻擊滲透、自治化勒索代理、供應(yīng)鏈與云環(huán)境深度滲透等攻擊技術(shù)被廣泛應(yīng)用。

隨著攻擊端智能化演進(jìn)，防御體系也將進(jìn)入以AI為核心的“自主安全”階段。如自適應(yīng)安全響應(yīng)、實時攻擊鏈推演與預(yù)測、智能化恢復(fù)流程編排、AI安全副駕駛深化應(yīng)用等。未來防御的核心不再是“更快地檢測”，而是“更智能地響應(yīng)與恢復(fù)”。

（三）產(chǎn)品與技術(shù)演進(jìn)趨勢

從可預(yù)見的產(chǎn)品與技術(shù)演進(jìn)路線來看，AI驅(qū)動的“勒索鏈早期檢測”和安全產(chǎn)品平臺化是兩個重要發(fā)展趨勢。

首先，AI驅(qū)動的“勒索鏈早期檢測”正在成為云–端聯(lián)動防護(hù)的重要發(fā)展方向。其核心在于：通過AI/ML模型對端點與云端的文件操作、同步行為、身份活動和訪問模式進(jìn)行實時基線建模，并在檢測到異常的大規(guī)模文件加密、異常密度的文件寫入、跨設(shè)備異常同步或可疑橫向操作組合時，自動觸發(fā)同步中斷、訪問隔離或快速回滾。

其次，XDR+ASM +TI一體化。隨著企業(yè)安全體系日益復(fù)雜，反勒索不再依賴孤立產(chǎn)品，而是趨向統(tǒng)一化安全平臺架構(gòu)。如，XDR（擴(kuò)展檢測與響應(yīng)）作為核心檢測平臺，ASM（攻擊面管理）全面納入安全體系，威脅情報（TI）進(jìn)一步內(nèi)生化，統(tǒng)一運(yùn)營（SOC）平臺構(gòu)建。整體趨勢是從“孤島式產(chǎn)品堆疊”向“統(tǒng)一安全底座+模塊化能力插件”轉(zhuǎn)型。

此外，Copilot式安全運(yùn)營進(jìn)一步普及。AI驅(qū)動的安全運(yùn)營副駕駛將在未來兩至三年成為主流配置。其演進(jìn)路徑中會包括：自然語言查詢安全數(shù)據(jù)、智能告警分析與摘要生成、自動生成處置建議與運(yùn)行劇本、安全人員能力增強(qiáng)。未來SOC將從“人驅(qū)動工具”轉(zhuǎn)變?yōu)椤癆I 驅(qū)動運(yùn)營，人類負(fù)責(zé)決策”。

最后，帶病運(yùn)行與業(yè)務(wù)韌性設(shè)計也將成為重要的技術(shù)趨勢。未來的防護(hù)將不僅關(guān)注“防住”，更關(guān)注“防不住時如何生存”。系統(tǒng)架構(gòu)將普遍引入“降級運(yùn)行模式”，即在核心數(shù)據(jù)庫被鎖定的情況下，通過緩存數(shù)據(jù)或備用簡易系統(tǒng)，維持最低限度的核心業(yè)務(wù)（如醫(yī)院僅保留急診掛號、銀行僅保留小額取現(xiàn)），直到系統(tǒng)完全恢復(fù)。

（四）數(shù)據(jù)保護(hù)、合規(guī)政策變化

鑒于攻擊智能化與自動化趨勢，全球監(jiān)管機(jī)構(gòu)在勒索事件與數(shù)據(jù)保護(hù)方面正顯著收緊政策?？傮w上可見三類趨向：一是更短的上報窗口與更嚴(yán)格的申報義務(wù)，二是從事后通知向前置風(fēng)險治理與差異化數(shù)據(jù)保護(hù)的轉(zhuǎn)變，三是對贖金支付與網(wǎng)絡(luò)保險的更嚴(yán)格監(jiān)管與承保條件。

首先，各國將實施更短的上報窗口與更嚴(yán)格的申報義務(wù)。多國或地區(qū)已立法、提案或發(fā)布指導(dǎo)，推動企業(yè)在發(fā)現(xiàn)重大網(wǎng)絡(luò)事件后盡快上報，并在發(fā)生贖金支付時作出單獨報告。例如，美國《CIRCIA》要求被覆蓋實體在合理認(rèn)為發(fā)生“重大事件”后72小時內(nèi)向CISA報告，贖金支付須在付款后24小時內(nèi)申報；歐盟在NIS2指導(dǎo)下建立類似“24 / 72 / 30”的上報節(jié)奏（早期告知—詳細(xì)更新—最終報告），但具體適用范圍與轉(zhuǎn)置細(xì)則由成員國確定；英國對公共部門贖金禁付與更廣泛的報告/申報制度也在推進(jìn)中（部分為已公布的提案或待轉(zhuǎn)化為立法的措施）。

其次，數(shù)據(jù)治理的監(jiān)管重點從“事后通知”逐步轉(zhuǎn)向“前置治理與可證明的”風(fēng)險控制。監(jiān)管機(jī)構(gòu)越來越強(qiáng)調(diào)數(shù)據(jù)分類與敏感數(shù)據(jù)的差異化保護(hù)（加密、訪問隔離、密鑰管理）、離線/不可篡改備份與恢復(fù)能力，以及在合同中對云/托管/AI 數(shù)據(jù)供應(yīng)鏈嵌入安全與通知義務(wù)，企業(yè)需能以證據(jù)證明其采取了充分的技術(shù)與治理控制并能在不依賴贖金的前提下恢復(fù)關(guān)鍵業(yè)務(wù)。

第三，在贖金與保險方面，監(jiān)管與市場雙向收緊。如美國OFAC等當(dāng)局警示向受制裁主體或與制裁有關(guān)方支付贖金可能觸及違反制裁規(guī)定的風(fēng)險，企業(yè)在任何支付前應(yīng)進(jìn)行制裁盡職與法律評估；同時保險公司提高核保門檻（要求企業(yè)實施MFA、補(bǔ)丁管理、備份與演練的證據(jù)等安全措施）、上調(diào)保費(fèi)與免賠、并對贖金項下的承保范圍與理賠條件設(shè)置更嚴(yán)格的條款。企業(yè)在制定應(yīng)對策略時應(yīng)把法律、合規(guī)、保險與技術(shù)恢復(fù)能力并行納入決策鏈，并保存完整證據(jù)以支持將來可能的監(jiān)管與理賠審查。

綜上，未來12–36個月內(nèi)，勒索攻防的核心博弈將聚焦于“攻擊自動化速度”對“防御檢測 /恢復(fù)速度”的對抗。組織若只做傳統(tǒng)邊界防護(hù)而忽視企業(yè)級身份治理、不可變備份與合規(guī)化應(yīng)急響應(yīng)建設(shè)，將更容易成為AI加速攻擊的受害者。企業(yè)防護(hù)能力建設(shè)的核心重點，在于提升響應(yīng)速度與強(qiáng)化數(shù)據(jù)治理。唯有以“機(jī)器速度”構(gòu)建自適應(yīng)防御體系，才能對沖攻擊自動化帶來的風(fēng)險，守住數(shù)字安全生命線。

【更多內(nèi)容可掃描下方二維碼獲取完整報告】

合作電話：18311333376

合作微信：aqniu001

聯(lián)系郵箱：bd@aqniu.com