勒索软件速度危机

当网络犯罪分子超越时钟

勒索软件攻击现在以机器速度急剧加速，在几分钟而非数天内完成。这一转变由AI驱动的战术和多重要挟活动推动，使得传统的人工安全响应过时。迫切需要AI驱动的检测、自动化响应和扩展检测与响应（XDR）平台来构建速度兼容的防御，以应对这些不断演变的威胁。

从软盘到机器速度——简史

1989年，世界卫生组织艾滋病会议上有人收到了一张软盘，这张软盘并非因推动医学研究而载入史册，而是因为释放了有记录以来的第一次勒索软件攻击。按当今标准，艾滋病特洛伊木马很原始，但它播下了一颗种子，成长为网络安全中最持久的噩梦之一。

2025年1月至3月最活跃的勒索软件泄露站点

快进到2025年，这颗种子已经发展成一个以机器速度移动的网络犯罪生态系统。过去需要数周的事情现在几小时内发生。一些攻击在短短25分钟内完成其目标（包括完整数据窃取）。我们正在目睹一场从根本上重塑威胁格局的速度危机。

对速度的需求（不幸的是）

数字讲述了一个严峻的故事。Unit 42研究显示，平均外泄时间从2021年的9天骤降至2023年的仅2天。到2025年，专家预测某些事件可能在30分钟内发生，代表攻击速度比三年前快了100多倍。

这不仅仅是犯罪效率的渐进式改进；这是一种范式转变，使得传统安全方法过时。当攻击者能在大多数安全团队喝早咖啡的时间内完成整个操作时，检测-分析-响应的旧策略变得危险地不足。

加速源于多种因素：人工智能自动化侦察和攻击执行、初始访问经纪人将网络入口点商品化，以及勒索软件即服务模式降低了网络犯罪分子的技术门槛。这是网络犯罪的民主化，并且正在以超高速发生。

勒索软件：过去（2017–2019）与现在（2020年及以后）

AI是犯罪分子的新朋友

人工智能已成为网络犯罪的伟大均衡器，统计数字发人深省。到2024年，82.6%的网络钓鱼邮件以某种形式使用AI技术，78%的人打开了AI生成的网络钓鱼邮件。这些不是你祖父时代的尼日利亚王子骗局，它们是复杂的、个性化的攻击，以惊人的准确性模仿合法通信。

AI不仅仅在改进社会工程的质量；它还在加速攻击生命周期的每个阶段。自动化侦察系统可以扫描数百万个目标以寻找漏洞。AI驱动的横向移动工具可以比人类防御者反应更快地导航网络。机器学习算法优化加密和数据外泄过程以实现最大影响。

结果如何？结合了机器速度和人类犯罪分子创造力的攻击，创造出比我们以往面对的任何威胁都更快、更智能的威胁。

欢迎来到勒索奥运会

现代勒索软件已经远远超越了简单的“付费解密”计划。今天的网络犯罪分子部署研究人员所称的“四重勒索”——一种多管齐下的方法，最大化对受害者的压力：

• 加密仍然是经典动作，锁定数据和系统。但它现在只是更大武器库中的一个工具。
• 数据盗窃已成为标准操作程序，60%的勒索案件涉及被盗信息，威胁要公开释放。
• 拒绝服务攻击打击受害者的对外基础设施，加剧运营中断。
• 骚扰活动直接针对高管、员工、客户和媒体联系人，使网络犯罪个人化。

这种多向量方法解释了为什么86%的勒索软件事件现在涉及重大业务中断。仅仅拥有良好备份已经不够（尽管你绝对仍然需要它们）。攻击者已经学会打击组织最痛处：声誉、客户关系、运营连续性。

有趣的是，约10%的勒索事件现在完全跳过加密。这些“砸抢”攻击简单地窃取或删除数据，认识到曝光或永久丢失的威胁可能与传统的基于加密的赎金同样有效。

网络犯罪的经济学

财务赌注急剧升级。2024年，初始赎金要求中位数同比增长近80%，达到125万美元，这大约是受害组织感知年收入的2%。虽然成功谈判通常将支付额减少至约267,500美元，但经济影响远超出赎金支付。

供应链攻击激增，成为第二普遍的攻击向量（15%）和第二昂贵的攻击（平均损失491万美元）。当犯罪分子攻破单个供应商时，他们可以访问数百或数千个下游受害者，这是一个力量倍增器，使这些攻击特别有吸引力。

初始访问经纪人的兴起将网络入侵商品化，创建了一个市场，犯罪分子可以购买预先被攻破的系统，而不是自己进行渗透。这是网络犯罪的零工经济版本，而且生意兴隆。

没有安全港

只有大公司面临勒索软件威胁的神话已被彻底揭穿。医疗保健以444起报告的勒索软件和数据盗窃事件领先所有美国关键基础设施行业，而92%的医疗保健组织在过去一年中经历了至少一次网络攻击。

但这不再仅仅是关于行业目标。Unit 42研究显示，专业和法律服务（例如，高科技、制造业、医疗保健、金融、批发/零售）合计占事件的63%。共同线索不是行业，而是漏洞。

小企业面临特殊挑战。它们通常缺乏专门的安全团队，但拥有有价值的数据，如客户信息、财务记录和知识产权。对网络犯罪分子来说，它们代表了可能高价值回报的低垂果实。

构建速度兼容的防御

防御超快速攻击需要从根本上重新构想网络安全战略。假设检测和响应需要数天或数周的传统方法是过去时代的遗物。

AI驱动检测已经从可有可无转变为绝对必要。当攻击在几分钟内移动时，只有机器速度的检测才能跟上步伐。现代安全平台使用行为分析和异常检测来实时识别威胁，通常早在传统基于签名的系统知道攻击正在进行之前。

零信任架构假设每个用户和设备都可能被攻破，要求对每个访问请求进行验证。这种方法限制了横向移动，这是允许快速攻击者最大化损害的关键优势之一。

自动化成为生存关键。安全编排、自动化和响应（SOAR）平台可以比人类分析师评估威胁更快地遏制威胁。当速度是攻击者的主要优势时，自动化防御成为防御者的均衡器。

扩展检测与响应（XDR）平台提供了所需的全面可见性，以跟踪跨端点、网络、云服务和应用程序的快速移动威胁。由于70%的事件跨越三个或更多攻击面，统一可见性不是奢侈品；而是生存必需。

机器速度世界中的人为因素

矛盾的是，随着攻击变得更加自动化，人为因素变得更加关键。虽然AI可以处理大量数据并识别模式，但人类分析师提供了机器缺乏的背景、创造力和战略思维。

最有效的安全团队正在学习与AI合作，作为力量倍增器。分析师不再淹没在警报中，而是专注于高价值活动，如威胁狩猎、事件调查和战略规划。这不是用机器取代人类，而是用机器智能放大人类能力。

在这个新格局中，培训变得至关重要。安全团队不仅需要理解传统威胁，还需要理解AI驱动的攻击。他们必须学会与AI系统并肩工作，解释机器生成的见解，并基于自动化分析做出快速决策。

军备竞赛继续

勒索软件速度危机代表了网络安全格局的根本转变。随着攻击持续加速，人工驱动响应的窗口持续缩小。适应这一新现实（部署AI驱动的防御、拥抱自动化和重新设计安全运营）的组织将蓬勃发展。那些固守传统方法的组织将发现自己越来越容易受到比其响应能力移动更快的威胁。

未来属于那些能够用机器智能匹配机器速度、用自动化精度匹配人类创造力、用尖端技术匹配传统安全智慧的人。在防御者和攻击者之间的竞赛中，速度不仅仅是优势，它是新的战场本身。

问题不是勒索软件是否会继续演变和加速。而是你的防御能否跟上步伐。

准备好用机器智能匹配机器速度了吗？

勒索软件速度危机要求从反应性安全向主动性安全进行根本转变。为昨日威胁构建的传统工具无法跟上在几分钟而非数天内完成的攻击。Cortex® XDR和Cortex® XSIAM提供了所需的AI驱动检测和自动化响应能力，以机器速度阻止勒索软件，在从初始利用到行为保护的每一步阻止攻击。

随着Unit 42报告70%的事件跨越三个或更多攻击面，Cortex提供的全面可见性不仅仅是优势；对于生存至关重要。当攻击者能在30分钟内从攻破移动到外泄时，你需要比人类分析师反应更快思考和响应的安全。

对于准备转变安全运营的组织，Unit 42托管检测与响应（MDR）通过专家管理的、AI驱动的防御扩展您的团队，由Cortex提供支持。我们的主动威胁猎人和响应者将平均检测和响应时间减少高达90%，从数小时缩短到数分钟。

采取勒索软件防御的下一步。下载我们的论文《生存勒索软件所需知识》。

因为当勒索软件以机器速度移动时，你的防御需要移动得更快。

关键要点

1. 攻击速度加速了100倍 2021年需要9天的勒索软件攻击现在在短短25分钟内完成，使得传统人工驱动响应方法过时。

2. AI驱动现代多重要挟活动 82.6%的网络钓鱼邮件现在使用AI技术，而攻击者部署四重勒索策略，包括加密、数据盗窃、拒绝服务和直接骚扰。

3. 机器速度防御现在必不可少 组织需要AI驱动的检测、自动化响应系统和XDR平台，以匹配跨越多个攻击面的现代攻击速度。