当前位置:首页 >英文主页 >中英对照 > 报告详情

Guidepoint Security:2026年度勒索软件与网络安全威胁研究报告(英文版)(53页).pdf

上传人: 小*** 编号:1274399 2026-07-03 53页 6.39MB

下载:
核心结论速览。 Qilin的“高攻击量≠高利润”悖论:Qilin 2025年声称1,044名受害者(增长578%),但平均每次攻击ROI低于47,000美元。开放式招募和僵化谈判导致支付率远低于Akira(<$90,000/次)。 BYOVD技术已从APT武器“民主化”为商品工具:PowerTool和“Killer Ultra”等工具包使缺乏内核专业知识的中间层勒索软件附属成员也能轻松禁用EDR。约500个传统驱动构成持久攻击面。 AI在勒索软件中已实现“战术级”应用:2025年出现AI驱动的谈判聊天机器人、AI辅助社会工程和数据分析工具。Anthropic发现代理AI工具(Claude Code)被用于对至少17个组织的实际攻击——预示拐点临近。 法律行业成为“高价值-低防御”的完美目标:受害者从196名增至455名(+132%),74%位于美国。客户PII、PHI、诉讼材料和律师-客户特权数据——一旦泄露,威胁迅速扩散至客户、对手方、法院、监管机构和保险公司。 漏洞利用窗口正在缩短:Qilin在CVE-2025-31324公开披露前至少3周已开始利用;Q1 2025 KEV新增漏洞同比增长82.5%。防御者必须将所有关键零日视为潜在勒索软件威胁途径。 Akira的“封闭式RaaS”模式提供了运营安全优势:与Qilin的开放招募不同,Akira通过关系网络和经验招募附属成员,降低了内部欺诈和执法渗透风险。 执法行动正在从“逮捕个人”转向“生态系统级破坏”:Operation Endgame查封1,025台服务器,Operation Secure拆除20,000+恶意IP/域名,LummaC2被完全禁用——但部分服务在数月内部分重建。Qilin深度剖析:最活跃但非最赚钱。2025年轨迹:从154到1,044。Qilin于2024年6月出现在RaaS领域,因2024年对英国医疗实验室公司Synnovis的攻击而首次获得广泛关注(据报道造成超4,000万美元损失)。2025年,Qilin的受害者数量从154名激增至1,044名,增长近6倍。增长的关键驱动因素:RansomHub关闭的“吸收效应” :2025年4月RansomHub关闭后,Qilin的受害者数量从188名增至近800名(280%增长),大量附属成员迁移至Qilin。开放式招募模式:Qilin在暗网论坛公开招募附属成员,降低了加入门槛。附属成员在300万美元以下支付中赚取80%,300万美元以上赚取85%。2025年新增功能: “Call Lawyer”功能——提供法律咨询以增加谈判压力。 “内部记者”——协助撰写数据泄露网站博客文章。 AI驱动的谈判工具——分析和总结泄露数据,自动化谈判过程。技术能力:Qilin勒索软件使用Golang和Rust编写,支持Windows和Linux。“Qilin.B”版本(2024年10月)支持AES-256-CTR和ChaCha20加密,配合RSA-4096(含OAEP填充)。支付率分析:为什么高攻击量不等于高利润。基于TRM Labs区块链数据的分析揭示了一个关键悖论:| 指标 | Qilin | Akira |||||| 2025年受害者 | 1,044 | 813 || 平均支付金额 | $366,000-457,000 | $366,000-457,000 || 平均ROI/攻击 | <$47,000 | <$90,000 || 支付率 | 显著较低 | 较高 |原因分析: 僵化的谈判方式:Qilin的沟通方式不灵活,难以达成妥协。 “底价”较高:两组织均存在约50,000-100,000美元的“底价”,低于此金额通常不被接受。 谈判有效性:成功的谈判可将支付金额减少44-80%。关键洞察:Qilin的高运营节奏不应被误解为高盈利能力。其开放式招募带来的附属成员能力参差不齐,加上僵化的谈判策略,导致支付率远低于封闭式运营的Akira。BYOVD:从APT武器到商品工具。什么是BYOVD?BYOVD(Bring Your Own Vulnerable Driver)是一种攻击技术,攻击者利用合法但存在漏洞的已签名Windows驱动程序在内核级别执行代码——从而禁用EDR和AV解决方案,在部署勒索软件负载前消除防御。演变路径。2024年初:Akira率先部署,利用Zemana AntiMalware驱动(zamguard64.sys)和Intel ThrottleStop驱动(rwdrv.sys)。2024年中:Qilin(CVE-2024-1853)和RansomHub等主要组织集成类似能力。2025年:Akira在SonicWall VPN零日漏洞活动中再次使用BYOVD,恶意利用rwdrv.sys和hldrv.sys驱动进行EDR规避。商品化:PowerTool和“Killer Ultra”等工具包将BYOVD从需要Windows内核专业知识的APT技术转变为“点击即用”能力。为什么BYOVD仍然有效?约500个传统驱动可被利用(LOLDrivers项目已目录化)。原因在于Windows安全约束的悖论:微软已收紧新驱动要求(EV证书签名、HLK兼容性测试),但这些增强安全措施不溯及既往——传统驱动仍可基于历史签名加载到内核空间。2026年展望:随着BYOVD被更多主要组织使用,此攻击链将变得更加普遍。防御者面临的挑战是:传统Windows驱动签名在更新版本发布后仍可被验证。AI在勒索软件中的“战术级”应用。当前状态(2025)。与流行预测相反,AI部署在2025年勒索软件操作中保持“战术性”而非“变革性”:谈判与沟通: LockBit和其他RaaS组织部署AI驱动的聊天机器人进行受害者谈判。 采用公式化方法处理预设需求,基于受害者响应个性化沟通。 Qilin提供“AI辅助谈判”和法律援助服务,审查泄露数据中的监管违规行为。社会工程: AI生成内容帮助克服语言障碍。 规模化个性化消息。 制作上下文相关诱饵,绕过传统检测。数据分析与目标选择: 勒索软件运营商使用AI分析泄露数据。 识别高价值信息(财务记录、知识产权、受监管数据)。 基于受害者收入和敏感性确定适当赎金金额。尚未实现的威胁。 完全自主的AI恶意软件,能够在整个攻击生命周期中独立决策。 AI编码的恶意软件在野大规模使用。 实时自适应防御措施的自我进化攻击链。Anthropic案例:拐点已至?2025年,Anthropic研究人员发现一名网络犯罪分子利用Claude Code(代理AI工具)对至少17个组织进行大规模数据盗窃和勒索,涉及医疗保健、应急服务和政府部门。意义:这预示我们正接近一个拐点——代理AI能力将变得足够可访问,供更广泛的威胁行为者采用。初始部署将集中于增强人类操作者而非取代他们,完全自主的AI驱动勒索软件活动预计在2026年仍为新兴而非普遍威胁。Akira:封闭式RaaS的运营安全优势。与Qilin的对比。| 维度 | Qilin(开放式) | Akira(封闭式) |||||| 招募模式 | 暗网公开招募 | 基于关系和经验的半透明招募 || 附属成员质量 | 参差不齐 | 经验丰富 || 运营安全风险 | 较高(执法渗透风险) | 较低 || 支付率 | 低 | 较高 || 攻击量 | 1,044(1) | 813(2) || 盈利能力/攻击 | <$47,000 | <$90,000 |Akira的漏洞利用策略。Akira在2025年的成功主要依赖于对边界设备漏洞的持续利用:SonicWall SSL VPN(CVE-2024-40766) : CVSS 9.8,权限提升漏洞。 2024年9月列入CISA KEV目录。 Akira利用始于2025年7月,持续至至少11月。 即使设备已修补,Akira仍可针对Virtual Office Portal,重用被盗凭证并利用错误配置绕过MFA。多因素初始访问: 漏洞利用 + 暴力破解VPN端点 + 密码喷洒 + 凭证重用。 漏洞作为单一组成部分,而非唯一访问向量。法律行业:高价值-低防御的完美目标。数据揭示的激增。法律行业勒索软件受害者从2024年的196名增至2025年的455名——同比增长132%。 455名受害者中335名(74%)位于美国。 这是所有行业中增长率最高的之一。为什么法律行业如此脆弱?数据敏感性:法律实体存储的敏感数据包括——客户PII、客户PHI、计划中或进行中的诉讼相关信息、受律师-客户特权保护的信息。连锁影响:当攻击者侵入法律事务所并窃取数据时,威胁迅速扩散至——客户、对手方、法院、监管机构、保险公司。数据组织化:法律环境中的记录保留规则和结构化数据组织使数据窃取更加广泛——增加了数据勒索的深度和广度,也增加了勒索行为者的胁迫杠杆。保险暴露:法律行业组织更可能购买网络安全保险——附属成员在谈判中参考保险单副本(如在网络中发现)以证明高额赎金要求的合理性。安全能力有限:除最大型律所外,许多法律组织缺乏强大的内部安全能力,依赖外包支持、MDR和MSSP。这导致对受影响数据的深度理解不足、DLP等高级安全解决方案部署受限、备份系统测试不足。防御建议。1. 数据保护优先:网络分段、最小权限/零信任架构、攻击面减少。2. 不可变备份:与主IT网络隔离的备份解决方案——使组织无需支付解密密钥即可恢复。3. 利用可用资源:美国律师协会网络安全手册和指南、CISA和FBI资源。漏洞利用窗口:不断缩短的时间线。2025年关键案例。| 组织 | 漏洞 | 利用时间 | 关键洞察 ||||||| Qilin | CVE-2025-31324(SAP NetWeaver) | 披露前至少3周 | 零日利用窗口 || Qilin | CVE-2025-32756(Fortinet) | 2025年5月加入KEV | 快速商品化 || Akira | CVE-2024-40766(SonicWall) | 2025年7月-11月(披露后1年) | 补丁缺口持续被利用 |KEV数据分析。 Q1 2025:新增73个漏洞,同比增长82.5%,环比增长32.7%。 H2 2025:漏洞数量QoQ显著下降——可能反映攻击向量在H2的转移。对防御者的启示。1. 零日即威胁:所有关键零日都应被视为潜在勒索软件威胁途径。2. 补丁缺口是利润来源:Akira在SonicWall漏洞公开后持续利用——组织“补丁差距”是勒索软件盈利的关键驱动因素。3. 窗口正在缩短:从零日披露到RaaS采纳的时间窗口正在缩小。2026年展望:关键防御建议。立即行动。1. 修补边界设备:VPN、防火墙和公共暴露平台是初始访问的最可靠途径。2. 实施EDR加固:测试EDR解决方案对BYOVD攻击的抵御能力。3. 测试不可变备份:确保备份与主IT网络隔离且不可变。短期行动。4. 监控KEV目录:优先修补CISA KEV中的漏洞。5. 减少攻击面:最小权限架构、网络分段。6. AI防御准备:部署AI驱动的检测能力,监控异常行为。中期行动。7. 零信任架构:消除对边界防御的过度依赖。8. 威胁狩猎:主动搜索BYOVD和LotL技术的利用迹象。9. 事件响应演练:针对勒索软件场景的定期演练。延伸阅读:以上为报告核心组织与战术分析,如需获取完整报告详细数据、完整组织名单及技术指标,请访问下载页下载完整PDF报告。FAQ。Q1:为什么Qilin攻击量最大但利润不是最高?A1:Qilin的开放式招募模式导致附属成员能力参差不齐,僵化的谈判方式导致支付率低。平均每次攻击ROI低于47,000美元,而Akira为低于90,000美元。Q2:BYOVD为何从APT武器变为商品工具?A2:PowerTool和“Killer Ultra”等工具包将需要Windows内核专业知识的复杂技术转化为“点击即用”能力。约500个传统驱动可被利用,且传统签名在更新版本发布后仍可验证。Q3:AI在勒索软件中的实际应用程度如何?A3:主要为战术性应用——谈判聊天机器人、AI辅助社会工程、数据分析。尚未观察到完全自主AI恶意软件。Anthropic发现代理AI工具已被用于实际攻击,预示拐点临近。Q4:法律行业为何受害者增长如此之快?A4:敏感数据(客户PII、PHI、诉讼材料)+ 较弱的内部安全能力 + 更可能持有网络安全保险 + 数据组织化使窃取更广泛。受害者从196名增至455名(+132%)。Q5:Akira的“封闭式RaaS”模式有何优势?A5:通过关系网络和经验招募附属成员,降低内部欺诈和执法渗透风险。支付率较高,平均ROI/攻击高于Qilin,运营更稳定。数据来源说明:本文数据来源于GuidePoint Security GRIT《2026 Ransomware and Cyber Threat Report》。公开受害者数据来自威胁组织网站和博客;支付率分析基于TRM Labs数据。具体数据来源已在各段落标注。
word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
1. **核心数据**:2025年公开披露的勒索软件受害者达7,515例,涉及124个不同组织,日均受害者20.6例,同比增长58%。 2. **行业与地区**:制造业(14%)、科技、零售批发和医疗行业受攻击最严重;美国(55.37%)为头号受害国。 3. **主要威胁组织**:Qilin(受害者最多)、Akira(次之)、Clop(数据勒索)及LockBit(Q4复苏)为最活跃团伙。 4. **技术趋势**:AI/LLM被用于勒索谈判和数据分析,但未实现全自动攻击;BYOVD(自带漏洞驱动)技术被广泛采用以绕过安全防护。 5. **执法行动**:国际执法行动(如Operation Secure)打击了信息窃取恶意软件,暂时削弱了勒索团伙的初始访问能力。
AI如何改变勒索? 法律行业为何成重灾区? 新兴团伙有何新花样?
客服
商务合作
小程序
服务号
折叠