舊的不去，新的不來(lái)。從機(jī)器人在春晚舞臺(tái)上翩翩起舞，到藍(lán)色小鯨魚打響2025開年第一炮，整個(gè)數(shù)字世界呈現(xiàn)出一片勃勃生機(jī)，萬(wàn)物競(jìng)發(fā)的景象。

然而，在數(shù)字世界的陰暗面，勒索軟件也在以驚人的速度進(jìn)化。

盡管BlackCat、LockBit等主要勒索軟件集團(tuán)受到執(zhí)法打擊，但勒索軟件即服務(wù)(RaaS)依然展現(xiàn)出極強(qiáng)的韌性，仿佛打不死的“小強(qiáng)”，新的組織不斷涌現(xiàn)，新的技術(shù)層出不窮。

而在過去的一年里，勒索軟件不再局限于傳統(tǒng)的攻擊手段。它們不僅在技術(shù)上變得更加復(fù)雜，還在攻擊目標(biāo)和策略上進(jìn)行了重大調(diào)整。從單一的加密勒索到結(jié)合數(shù)據(jù)泄露的雙重勒索、從對(duì)小型企業(yè)的局部攻擊到對(duì)跨國(guó)企業(yè)和政府機(jī)構(gòu)的全面入侵，勒索軟件的進(jìn)化之路充滿了危險(xiǎn)與不確定性。

在往期的黑客動(dòng)態(tài)播報(bào)里，小編為大家講解了2025年需要重點(diǎn)防范的五個(gè)勒索手段。那么，在過去的一年里，那些最活躍的勒索軟件是如何利用新技術(shù)和新策略來(lái)提升攻擊效果的？而它們又有什么共性，能帶給我們?cè)鯓拥膯⑹荆?/p>

#01LockBit卷土重來(lái)

不可輕易放松警惕

作為最臭名昭著的勒索軟件團(tuán)伙之一，LockBit以高效的加密以及規(guī)避傳統(tǒng)安全措施的能力而聞名。

盡管在2024年2月受到重創(chuàng)，但由于犯罪團(tuán)伙的快速響應(yīng)并未將其完全扼殺，再加之勒索軟件即服務(wù)(RaaS)模式的成熟，這導(dǎo)致許多與LockBit沒有正式關(guān)系的網(wǎng)絡(luò)犯罪分子也能通過LockBit 3.0來(lái)發(fā)起攻擊，在各個(gè)行業(yè)造成廣泛的破壞。

LockBit 3.0勒索軟件的入侵跡象十分明顯：它會(huì)將文件圖標(biāo)替換為L(zhǎng)ockBit徽標(biāo)，并隨即彈出一張勒索信。通知中告知受害者，其文件已被加密，并要求支付贖金以解鎖數(shù)據(jù)。

LockBit 3.0勒索軟件的攻擊技術(shù)主要依靠加密和雙重勒索，這些復(fù)雜的入侵技術(shù)和攻擊手段，展現(xiàn)出高度的自動(dòng)化和隱匿性，具體來(lái)說(shuō)：

1、通過多種方式獲取初始訪問權(quán)限，包括從文件和Web瀏覽器中提取存儲(chǔ)的憑據(jù)，利用遠(yuǎn)程桌面協(xié)議(RDP)的弱口令或已知漏洞進(jìn)行滲透等方式。

2、通過繞過安全控制或結(jié)束殺軟進(jìn)程獲得更高的權(quán)限，同時(shí)在入侵后，LockBit 3.0會(huì)嘗試提升權(quán)限至管理員級(jí)別。

3、在加密文件之前掃描系統(tǒng)以收集信息，利用合法工具（如rclone）將敏感數(shù)據(jù)上傳到遠(yuǎn)程服務(wù)器，最后加密數(shù)據(jù)以鎖定關(guān)鍵業(yè)務(wù)運(yùn)營(yíng)。

#02中小型企業(yè)殺手

專挑“軟柿子”的Lynx

去年年中，一個(gè)名為L(zhǎng)ynx的新興勒索軟件組織迅速崛起，因其激進(jìn)的攻擊手段而聲名狼藉。與專注于攻擊大型企業(yè)的勒索軟件團(tuán)伙不同，Lynx更傾向于利用中小企業(yè)薄弱的安全措施，有針對(duì)性地對(duì)北美和歐洲的中小型企業(yè)發(fā)起攻擊。

該組織的勒索策略高度依賴雙重勒索手段。一旦目標(biāo)設(shè)施遭受感染，桌面壁紙會(huì)迅速被勒索信替代，信中明確聲明：他們不僅會(huì)加密數(shù)據(jù)，如果受害者拒絕支付贖金，他們還會(huì)在公共網(wǎng)站和暗網(wǎng)上公開被盜數(shù)據(jù)。

Lynx勒索軟件主要通過攻擊中小企業(yè)來(lái)實(shí)施入侵，由于這些企業(yè)通常具有薄弱的安全防護(hù)，這種相對(duì)簡(jiǎn)單的攻擊方式卻極為有效：

1、Lynx的傳播途徑多樣，包括釣魚郵件、惡意下載和黑客論壇資源共享等，可以有效繞過安全防護(hù)直接接觸目標(biāo)系統(tǒng)。

2、Lynx使用先進(jìn)的加密算法（如AES-128和Curve25519 Donna）對(duì)文件進(jìn)行加密，同時(shí)還會(huì)重命名文件以模擬其他勒索軟件病毒，以混淆發(fā)起的攻擊。

3、Lynx入侵的另一個(gè)特點(diǎn)是查詢注冊(cè)表以掃描系統(tǒng)詳細(xì)信息和安全軟件，并讀取CPU信息以評(píng)估目標(biāo)環(huán)境，這導(dǎo)致許多企業(yè)在收到勒索信之前無(wú)法察覺到攻擊。

#03迅速傳播，批量感染

自我復(fù)制的勒索軟件Virlock

Virlock是一種獨(dú)特的勒索軟件病毒，首次出現(xiàn)于2014年。盡管它并非全新的勒索軟件，但在ALPHV和LockBit兩大勒索軟件組織相繼受到打擊的背景下，Virlock借助勒索軟件即服務(wù)(RaaS)的興起再次嶄露頭角，迅速成為RansomHub、Akira等網(wǎng)絡(luò)犯罪團(tuán)伙的常用手段。

在最近的入侵活動(dòng)中，安全人員發(fā)現(xiàn)Virlock通過云存儲(chǔ)和協(xié)作應(yīng)用程序感染和加密文件，然后再將這些文件同步到公共云環(huán)境中。一旦用戶無(wú)意中執(zhí)行了受感染的文件，Virlock勒索軟件便會(huì)自動(dòng)復(fù)制到新的用戶環(huán)境中，就像傳染病那樣。

Virlock勒索軟件最大的特點(diǎn)就是其自我復(fù)制能力，集感染、勒索、鎖屏功能于一身，這種雙重功能使其能夠迅速傳播，尤其是通過云存儲(chǔ)以及云上協(xié)作平臺(tái)，而其入侵手段主要呈現(xiàn)出以下特質(zhì)：

1、難以完全清除和阻止：感染后會(huì)識(shí)別出特定于Virlock的互斥鎖，使其一次只運(yùn)行一個(gè)實(shí)例以避免干擾，一旦其中某一進(jìn)程被安全軟件終止，其他進(jìn)程會(huì)自動(dòng)重新啟動(dòng)該進(jìn)程，增加清除難度。

2、自啟動(dòng)與持久化：Virlock會(huì)修改Windows注冊(cè)表，隱藏文件擴(kuò)展名以欺騙用戶點(diǎn)擊被感染的文件，同時(shí)將其添加到系統(tǒng)啟動(dòng)項(xiàng)或注冊(cè)為系統(tǒng)服務(wù)，確保每次開機(jī)自動(dòng)運(yùn)行。

無(wú)論勒索軟件如何演變，其核心特征始終是復(fù)雜且激進(jìn)的網(wǎng)絡(luò)勒索策略。從LockBit、Lynx到Virlock，這三種勒索軟件在攻擊流程上展現(xiàn)出高度相似的共性：

01加密文件以鎖定關(guān)鍵業(yè)務(wù)數(shù)據(jù)

三種勒索軟件都以加密受害者的關(guān)鍵文件和數(shù)據(jù)為核心手段，通過這種方式使受害者無(wú)法正常訪問其業(yè)務(wù)系統(tǒng)，同時(shí)還會(huì)威脅泄露數(shù)據(jù)，從而實(shí)現(xiàn)雙重甚至三重勒索。

02利用漏洞和工具擴(kuò)大感染

這些勒索軟件會(huì)利用系統(tǒng)漏洞（如SMB協(xié)議漏洞）或工具（如PsExec）進(jìn)行橫向移動(dòng)和傳播，擴(kuò)大攻擊范圍。這種策略不僅提高了攻擊效率，還增加了防御難度。

03偽裝、篡改和潛伏

三種勒索軟件的入侵都會(huì)將惡意文件偽裝成正常的文件，以修改注冊(cè)表的方式提升攻擊的持久性，并在加密文件之前，都會(huì)掃描系統(tǒng)以收集信息，包括系統(tǒng)配置、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)共享資源等，以便更好地進(jìn)行攻擊。

當(dāng)然，上述勒索軟件僅是眾多威脅中的一部分，還有Medusa、BlackBasta等其他團(tuán)伙伺機(jī)而動(dòng)。與此同時(shí)，勒索軟件即服務(wù)(RaaS)平臺(tái)的出現(xiàn)使網(wǎng)絡(luò)犯罪平民化，使技術(shù)能力較低的犯罪分子也能發(fā)動(dòng)復(fù)雜的攻擊。

戴爾數(shù)據(jù)避風(fēng)港

打造現(xiàn)代的數(shù)據(jù)防線

面對(duì)這一嚴(yán)峻形勢(shì)，企業(yè)亟需構(gòu)建現(xiàn)代化的網(wǎng)絡(luò)安全防線，以應(yīng)對(duì)日益復(fù)雜且不斷演變的網(wǎng)絡(luò)威脅。在此過程中，企業(yè)不僅要建立健全可靠的備份與恢復(fù)機(jī)制，還需完善監(jiān)測(cè)與響應(yīng)體系，同時(shí)加強(qiáng)安全意識(shí)培訓(xùn)，尤其是在憑據(jù)管理、權(quán)限控制等關(guān)鍵領(lǐng)域。

作為業(yè)界領(lǐng)先的端到端IT解決方案供應(yīng)商，戴爾科技經(jīng)過驗(yàn)證的現(xiàn)代化智能保護(hù)解決方案——PowerProtect Cyber Recovery數(shù)據(jù)避風(fēng)港正是為應(yīng)對(duì)這些復(fù)雜挑戰(zhàn)而設(shè)計(jì)的，以強(qiáng)大的不可變性、隔離和智能化，全方位保護(hù)企業(yè)數(shù)據(jù)安全。

#01可靠的備份與恢復(fù)機(jī)制

有效防止業(yè)務(wù)停擺

作為現(xiàn)代業(yè)務(wù)運(yùn)轉(zhuǎn)的基礎(chǔ)，數(shù)據(jù)備份的保護(hù)是重中之重。戴爾數(shù)據(jù)避風(fēng)港方案以強(qiáng)大的備份和恢復(fù)機(jī)制實(shí)現(xiàn)網(wǎng)絡(luò)彈性，并確保本地和多云環(huán)境中的業(yè)務(wù)連續(xù)性。

在本地，數(shù)據(jù)避風(fēng)港以自動(dòng)化數(shù)據(jù)隔離的方式進(jìn)行保護(hù)，并具有多層物理和邏輯安全保護(hù)，所有數(shù)據(jù)存儲(chǔ)在安全隔離的Cyber Recovery數(shù)據(jù)避風(fēng)港存儲(chǔ)區(qū)中，同時(shí)借助PowerProtect Data Domain，用戶可實(shí)現(xiàn)滿足合規(guī)要求的硬件級(jí)不可變性，并獲得NTP防篡改保護(hù)。

在云端，戴爾科技與AWS、Azure、Google Cloud等眾多領(lǐng)先云服務(wù)提供商建立了緊密的合作關(guān)系。戴爾數(shù)據(jù)避風(fēng)港方案提供快速且易于部署的公有云存儲(chǔ)區(qū)域，能夠有效保護(hù)和隔離關(guān)鍵數(shù)據(jù)與系統(tǒng)，使其免受網(wǎng)絡(luò)攻擊的威脅。此外，該方案還支持在遭受攻擊后快速恢復(fù)數(shù)據(jù)，并提供多種恢復(fù)選項(xiàng)，以加速數(shù)據(jù)恢復(fù)流程，確保企業(yè)業(yè)務(wù)的連續(xù)性。

#02強(qiáng)大的數(shù)據(jù)加密與隔離

避免勒索軟件擴(kuò)大感染

現(xiàn)代勒索軟件以其快速的迭代和強(qiáng)大的傳染性而聞名，一旦入侵，便能在短時(shí)間內(nèi)迅速擴(kuò)散至整個(gè)用戶環(huán)境。因此，構(gòu)建一套堅(jiān)固且不可篡改的數(shù)據(jù)保險(xiǎn)箱已成為當(dāng)務(wù)之急。

Cyber Recovery數(shù)據(jù)避風(fēng)港存儲(chǔ)區(qū)正是這樣一套安全解決方案。企業(yè)的備份數(shù)據(jù)通過內(nèi)部網(wǎng)絡(luò)和專用接口，安全地與Cyber Recovery Vault存儲(chǔ)設(shè)備建立復(fù)制鏈接。該區(qū)域?qū)账鬈浖豢梢姡瑥亩@著降低了備份數(shù)據(jù)被感染的風(fēng)險(xiǎn)。

而控制該區(qū)域連接的Air Gap網(wǎng)閘隔離機(jī)制，會(huì)在數(shù)據(jù)同步完畢的同時(shí)斷開數(shù)據(jù)訪問路徑，以阻斷勒索軟件在系統(tǒng)內(nèi)傳播的可能，保證備份數(shù)據(jù)拷貝副本不可加密、不可篡改、不可刪除。

#03智能監(jiān)測(cè)與主動(dòng)防御

快速識(shí)別威脅

如今，勒索軟件變得更加致命且隱蔽，攻擊者通過修改文件名或注冊(cè)表等手段來(lái)混淆攻擊路徑，為長(zhǎng)期潛伏做準(zhǔn)備。這些行為使得勒索軟件能夠在系統(tǒng)中悄然存在，而不易被發(fā)現(xiàn)。

在這種情況下，傳統(tǒng)安全工具往往難以有效檢測(cè)此類威脅。因?yàn)槠湓硎窃趧?chuàng)建或更改程序和文件時(shí)對(duì)它們進(jìn)行實(shí)時(shí)掃描，并將它們與已知的病毒特征碼進(jìn)行比較，對(duì)于直接更改文件結(jié)構(gòu)、部分加密的方式來(lái)說(shuō)檢測(cè)能力會(huì)大打折扣。

而戴爾數(shù)據(jù)避風(fēng)港完全集成的CyberSense技術(shù)不僅會(huì)掃描元數(shù)據(jù)，也會(huì)對(duì)文件類型、文檔結(jié)構(gòu)以及數(shù)據(jù)庫(kù)內(nèi)容進(jìn)行全盤掃描。其內(nèi)容分析屬性高達(dá)200項(xiàng)，遠(yuǎn)超于基于掃描元數(shù)據(jù)的解決方案的12項(xiàng)屬性分析。

同時(shí)，CyberSense還通過機(jī)器學(xué)習(xí)對(duì)數(shù)以千計(jì)的惡意軟件進(jìn)行訓(xùn)練，并區(qū)分用戶活動(dòng)與勒索軟件行為。這種自動(dòng)化分析手段不僅可以加速發(fā)現(xiàn)異常行為模式，同時(shí)還能更大限度地減少誤報(bào)和漏報(bào)，置信度可達(dá)99.9%。

結(jié) 語(yǔ)

技術(shù)革新雖極大地提升了生產(chǎn)效率，卻也進(jìn)一步放大了網(wǎng)絡(luò)威脅的破壞力。從新興到傳統(tǒng)的勒索軟件，不斷展現(xiàn)出其生態(tài)系統(tǒng)的適應(yīng)性和持久性。面對(duì)這一嚴(yán)峻形勢(shì)，企業(yè)必須保持高度警惕，并持續(xù)強(qiáng)化防御策略。

而在勒索軟件日益復(fù)雜的背景下，戴爾數(shù)據(jù)避風(fēng)港方案不僅是一個(gè)技術(shù)解決方案，更是企業(yè)數(shù)據(jù)安全的“避風(fēng)港”，通過加密、隔離、備份和恢復(fù)等多層防護(hù)機(jī)制，為企業(yè)提供全方位保護(hù)，讓企業(yè)可以專注于核心業(yè)務(wù)，無(wú)需再為數(shù)據(jù)安全擔(dān)憂。