微软警告：勒索软件已成为网络攻击主力军

根据《2025年微软数字防御报告》，去年分析的所有网络攻击中，超过一半是由勒索软件或勒索行为驱动的。

微软发现52%的安全事件与经济利益相关，而仅有4%纯粹源于间谍活动。报告指出：“在微软安全团队去年调查的网络事件中，80%的攻击者试图窃取数据——这一趋势更多由经济利益驱动，而非情报收集。”

从间谍活动到勒索攻击

这一数据标志着新常态的形成——在自动化和人工智能（AI）的赋能下，机会型网络犯罪分子现在构成与国家行为体同等级别的威胁。

微软每日处理超过100万亿个信号，阻止450万次新恶意软件尝试，并扫描50亿封电子邮件以检测网络钓鱼和恶意代码。然而攻击者越来越多地通过利用人为错误和过时系统来绕过传统安全措施，特别是在医疗、教育和公共服务等关键领域。

勒索软件运营商利用这些高压环境——在这些环境中停机可能意味着生命损失或公众信任丧失——迫使受害者快速支付赎金以恢复运营。

攻击工作原理

现代勒索软件活动的机制复杂但一致。攻击者通常在加密数据前窃取凭证或在暗网市场购买凭证，然后要求加密货币支付。令人担忧的是，微软发现超过97%的基于身份的攻击源于密码攻击，2025年上半年身份攻击激增32%。

信息窃取恶意软件已成为大规模收集登录数据、浏览器令牌和会话cookie的首选方法。网络犯罪分子可以重复使用或出售这些凭证，以促进勒索软件传播或勒索计划。幸运的是，一种简单的缓解措施仍然非常有效：防网络钓鱼的多重身份验证（MFA）。微软分析显示，即使攻击者拥有有效凭证，MFA也能阻止超过99%的基于身份的攻击。

分层防御

安全团队现在必须假设对手不仅仅是"闯入"——他们正在使用有效凭证登录。为应对此情况，组织应：

• 部署防网络钓鱼的MFA（例如FIDO2、通行密钥）
• 替换无法支持现代身份协议的遗留系统
• 实施最小权限访问和异常登录的持续监控
• 投资能够检测自适应威胁的AI驱动防御工具
• 跨行业合作共享威胁情报

微软数字犯罪部门已与美国司法部和欧洲刑警组织合作，对部分威胁行为体采取直接行动，破坏了如Lumma Stealer等信息窃取操作。这些联合努力表明，协调的公私合作伙伴关系可以拆除主要网络犯罪基础设施。

AI与新的网络军备竞赛

攻击者和防御者都在竞相利用AI。生成式AI使网络犯罪分子能够自动化网络钓鱼活动、制作令人信服的社会工程内容并开发自适应恶意软件。与此同时，国家行为体使用AI来增强网络影响操作和间谍活动。

防御者也在转向AI驱动工具来弥补检测缺口，防范AI驱动的社会工程，标记异常网络行为，并加速事件响应。这种技术拉锯战意味着网络安全计划的有效性越来越依赖于其AI成熟度和数据可见性。

未来展望

随着数字化转型持续加速，网络威胁正变得与全球经济稳定和公共安全密不可分。将网络安全视为战略优先事项而不仅仅是成本的组织，将最能适应这种不断演变的威胁格局。

为在这种基于凭证的攻击和AI驱动威胁激增中保持韧性，组织应利用零信任安全模型——该模型假设已被入侵，验证每个请求，并持续验证跨用户、设备和数据的信任。