数据窃取式勒索已无利可图,勒索软件团伙将重新转向加密攻击
一、背景:曾经风光的“仅窃取数据”策略为何失效?
近年来,以Cl0p为代表的勒索软件组织曾开创了一种看似“高效”的攻击模式:利用零日漏洞(如MOVEit、GoAnywhere等文件传输工具),仅窃取敏感数据而不加密文件,直接向受害者勒索赎金。这种策略在初期确实取得了可观的收益——例如在2021年针对Accellion的攻击中,超过25%的受害者支付了赎金;在GoAnywhere攻击中,支付率也达到约20%。
然而,这一模式的“黄金时代”已迅速褪色。在近期的MOVEit事件中,支付率暴跌至不到2.5%;针对Cleo和Oracle EBS的攻击几乎无人支付;Shiny Hunters团伙对Snowflake和Salesforce的攻击同样收效甚微。数据窃取式勒索,正迅速失去其“盈利能力”。
二、转变原因:企业心态成熟,赎金支付率创新低
企业不再轻易为数据泄露支付赎金,背后是风险意识的根本性转变:
法律风险无法规避:支付赎金并不能免除企业因数据泄露面临的监管罚款、诉讼赔偿等法律责任。例如,根据GDPR、个保法等法规,组织仍需为数据泄露事件承担主体责任。
攻击者信用破产:企业普遍认识到,即使支付赎金,也无法保证攻击者会真正删除数据。数据很可能被保留、转售或用于二次勒索,支付行为反而可能助长更频繁的攻击。
正如网络安全公司Coveware所指出的,在当前的“利弊权衡”中,支付赎金的“弊”已远远大于“利”。纯粹依靠数据泄露进行勒索的模式,在经济上已难以为继。
三、未来趋势:勒索软件将“回归初心”——加密攻击卷土重来
由于数据窃取策略收益骤降,勒索软件团伙为了生存,必然调整战术。加密攻击将重新成为主流。原因在于:加密直接导致业务系统中断、运营停摆,给企业造成的即时压力与经济损失远大于潜在的数据泄露风险,从而极大地提高了受害者支付赎金以恢复业务的概率。
数据佐证了这一趋势:
赎金金额飙升:2025年第四季度,平均赎金支付额接近60万美元(环比增长57%),中位数升至32.5万美元(环比增长132%)。这主要是由少数造成严重业务中断的事件拉高的,凸显了加密攻击的“胁迫”效力。
支付率依然低迷但结构变化:虽然整体赎金支付率仍在20%左右,但支付案例明显向“不支付就无法运营”的加密事件集中。
活跃团伙与行业:本季度最活跃的勒索团伙是Akira、Qilin和Lone Wolf。专业服务、医疗保健、技术硬件等行业成为重灾区。
核心观点:每一次企业对数据窃取勒索的拒绝支付,都在削弱该攻击模式的经济基础。随着企业防御意识提升和应对策略成熟,攻击者的“生意”越来越难做。为了迫使受害者就范,他们不得不重拾“加密文件”这一制造直接破坏的老本行。这意味着,未来企业面临的勒索攻击,将更具破坏性,更直接地威胁业务连续性。
四、企业应对策略:构建以“防御加密”为核心的主动安全体系
面对勒索软件策略“回归加密”的新趋势,企业的防御重点必须从“事后数据泄露应对”前移至“事前系统加固与事中加密阻断”。被动等待攻击发生后再考虑赎金与否,已是最下策。建立主动、纵深的安全防护体系,才是根本出路。
1. 防御前移,消除加密入口
勒索软件加密攻击的成功,往往始于一个可利用的漏洞。因此,在系统上线前、运营周期中,进行系统性的安全检测与加固,堵住漏洞,是性价比最高的防御。
上线前深度体检:在新系统、新应用部署前,进行全面的渗透测试与源代码审计,提前发现并修复逻辑缺陷、安全漏洞,避免带病上线。
周期性安全巡检:对在线资产进行定期的漏洞扫描与基线核查,及时发现因配置错误、软件漏洞或新增资产带来的风险,并快速修复。
2. 强化备份与容灾,筑牢最后防线
确保关键业务数据拥有离线、隔离的备份,并定期验证备份的可恢复性。这样即使遭遇加密攻击,也能快速恢复业务,从根本上消除支付赎金的必要性。
3. 寻求专业安全服务支持
对于大多数企业而言,组建覆盖全技术栈的顶尖安全团队成本高昂。借助拥有权威资质和丰富经验的第三方专业安全服务,成为高效、可靠的选择。
五、天磊卫士:为您的业务连续性提供权威安全合规保障
面对日益复杂且破坏性更强的勒索软件威胁,天磊卫士(UGUARD)作为一家专注于网络安全、数据安全及合规服务的国家高新技术企业,致力于成为企业的“安全合规战略合作伙伴”。我们提供的一站式网络安全服务,正是为了帮助企业系统性应对包括勒索软件加密攻击在内的各类安全风险,保障数字化转型过程的安全与可持续。
我们的服务精准匹配防御勒索攻击的核心场景:
系统上线前安全评估:通过渗透测试(PT)、代码审计(CA)等服务,深度挖掘应用层与系统层漏洞,从源头降低被攻破的风险。
年度安全巡检与加固:通过漏洞扫描、基线核查、病毒查杀等组合服务,持续监控资产风险状态,及时修复安全隐患,保持系统安全水位。
合规与专项保障:服务流程与报告严格符合等级保护、行业监管等要求,助力企业满足合规性要求的同时,提升实质安全能力。
选择天磊卫士的核心优势:
权威资质保障,报告具备公信力:我们的评估服务依托于国家认可的权威资质。例如,我们持有信息安全服务资质认证证书(CCRC,证书编号:CCRC-2022-ISV-RA-1699/1648)、检验检测机构资质认定证书(CMA,证书编号:232121010409)以及通信网络安全服务能力评定证书(证书编号:CESSCN-2024-RA-C-133)。出具的报告可加盖 CNAS、CMA 双章,具备法律与监管认可的有效性。同时,我们也是海南省网络安全应急技术支撑单位(证书编号:2025-20260522011)等权威机构的认证技术支撑力量。
专业团队,实战经验丰富:我们的技术团队核心人员持有CISSP、CISP-PTE等顶级安全认证,并拥有CNVD原创漏洞证书及多次省级攻防演练裁判专家经验,能从攻击者视角为企业发现真实、高危的安全问题。
全流程服务,确保修复闭环:我们提供从需求分析、检测评估到一对一修复指导、免费复测的完整服务链,确保发现的每一个漏洞都能被有效解决,真正提升企业安全防护水平。
每一次勒索攻击策略的演变,都是对企业安全体系的一次考验。当天磊卫士为您提供从漏洞扫描、渗透测试到代码审计、基线核查的完整解决方案时,我们不仅在帮助您满足合规要求,更是在为您的核心业务构建一道抵御加密勒索、保障连续运营的坚实防线。
