專訪 這是當(dāng)今最大的威脅，但她花了一段時(shí)間才真正意識(shí)到這一點(diǎn)。在FBI工作了二十年，長(zhǎng)期致力于攔截和阻止來(lái)自中國(guó)、俄羅斯等國(guó)家的網(wǎng)絡(luò)威脅之后，Halcyon勒索軟件研究中心高級(jí)副總裁辛西婭·凱澤表示，她是"后來(lái)才真正想要專注于勒索軟件"的。

"我曾是FBI的一名部門主任，負(fù)責(zé)國(guó)家行為者分析，包括朝鮮、伊朗、中國(guó)、俄羅斯等，"她在RSA大會(huì)期間接受采訪時(shí)告訴The Register，"當(dāng)時(shí)中國(guó)正在我們的關(guān)鍵基礎(chǔ)設(shè)施上預(yù)先布局，構(gòu)成一種潛在的生存威脅。"

"勒索軟件對(duì)我來(lái)說(shuō)是一個(gè)更緩慢的演變過(guò)程，讓我意識(shí)到這才是今天正在偷走我們資產(chǎn)的威脅，是我們今天面臨的威脅，而不是明天潛在的災(zāi)難性威脅，"凱澤說(shuō)，"我對(duì)勒索軟件也非常憤怒，因?yàn)樗缃褚褜⒐裟繕?biāo)瞄準(zhǔn)了醫(yī)院，正在奪走人的生命。"

2025年6月，凱澤離開了她在FBI網(wǎng)絡(luò)部門副助理局長(zhǎng)的職位，轉(zhuǎn)而領(lǐng)導(dǎo)安全公司Halcyon新設(shè)立的勒索軟件研究中心。該中心一個(gè)月后在Black Hat大會(huì)上正式亮相，致力于消除勒索軟件這一頑疾。結(jié)合純敲詐勒索攻擊，這類威脅去年已給美國(guó)企業(yè)和消費(fèi)者造成近1.55億美元的損失。

過(guò)去幾個(gè)月，她的團(tuán)隊(duì)調(diào)查了多起勒索軟件感染事件，范圍從歸因于伊朗政府關(guān)聯(lián)組織Pay2Key對(duì)美國(guó)某醫(yī)療機(jī)構(gòu)發(fā)動(dòng)的攻擊，到由技術(shù)水平更低、更新興的"勒索軟件即服務(wù)"運(yùn)營(yíng)商Sicarii實(shí)施的入侵，不一而足。

勒索軟件威脅譜系的兩端，都可能對(duì)企業(yè)運(yùn)營(yíng)造成災(zāi)難性的破壞影響。

Pay2Key的感染事件發(fā)生在2月下旬，恰逢美國(guó)和以色列對(duì)伊朗發(fā)動(dòng)軍事打擊前后。Halcyon的調(diào)查發(fā)現(xiàn)，這個(gè)伊朗背景的團(tuán)伙在攻擊發(fā)生前數(shù)天便已獲取了一個(gè)被攻陷的管理員賬戶的訪問(wèn)權(quán)限，隨后僅用三小時(shí)就完成了勒索軟件部署并加密了整個(gè)環(huán)境。

"他們必然在攻擊發(fā)生之前就已進(jìn)入網(wǎng)絡(luò)，訪問(wèn)權(quán)限是早已存在的，"凱澤說(shuō)，并補(bǔ)充道，她無(wú)法明確地將此次勒索軟件感染與中東戰(zhàn)爭(zhēng)直接掛鉤。

"這說(shuō)明，像Pay2Key這樣具有政府背景的組織，可以在任何時(shí)候?qū)F(xiàn)有的訪問(wèn)權(quán)限付諸行動(dòng)，"她說(shuō)，"當(dāng)我看到這一點(diǎn)時(shí)，我想到了2022年的阿爾巴尼亞網(wǎng)絡(luò)攻擊事件。"美國(guó)政府曾對(duì)伊朗情報(bào)與安全部及其情報(bào)部長(zhǎng)實(shí)施制裁，以回應(yīng)那次早先導(dǎo)致阿爾巴尼亞公共服務(wù)與網(wǎng)站癱瘓的網(wǎng)絡(luò)攻擊。

"伊朗在那些網(wǎng)絡(luò)上潛伏了14個(gè)月，實(shí)施間諜活動(dòng)、收集電子郵件，然后將訪問(wèn)權(quán)限移交給一個(gè)攻擊團(tuán)伙付諸行動(dòng)，"凱澤在談及2022年的入侵事件時(shí)說(shuō)道。

在此次針對(duì)醫(yī)療機(jī)構(gòu)的Pay2Key攻擊中，凱澤表示，該組織使用的勒索軟件變種相比其2025年7月的入侵版本有了重大升級(jí)，內(nèi)置了更強(qiáng)的反檢測(cè)能力。此外，此次攻擊沒(méi)有任何數(shù)據(jù)被竊取的證據(jù)，這對(duì)于這個(gè)特定團(tuán)伙來(lái)說(shuō)并不尋常，也與當(dāng)前更為普遍、更有利可圖的"雙重勒索"趨勢(shì)背道而馳。

"這說(shuō)明，確實(shí)存在一種與政府有所關(guān)聯(lián)的獨(dú)特勒索軟件威脅，而且在這個(gè)案例中，其目的顯然更多是破壞，而非單純追求贖金和經(jīng)濟(jì)利益，"凱澤說(shuō)。

與此同時(shí)，像Akira這樣具有高度組織化財(cái)務(wù)動(dòng)機(jī)的犯罪團(tuán)伙，其攻擊速度正變得越來(lái)越快，從初始入侵到完成加密的時(shí)間已不足一小時(shí)。根據(jù)Halcyon的調(diào)查，在過(guò)去12個(gè)月內(nèi)，Akira在其數(shù)百起入侵案例中，從初始訪問(wèn)到完全加密的時(shí)間大多不超過(guò)四小時(shí)。

此外，該勒索軟件運(yùn)營(yíng)商的解密工具還使用了一套特殊的"檢查點(diǎn)"機(jī)制，確保即便加密過(guò)程中出現(xiàn)中斷，大型文件仍可恢復(fù)。這使得向受害者支付贖金的方案聽起來(lái)更具吸引力。

對(duì)于防御方而言，這意味著"你已經(jīng)沒(méi)有過(guò)去那種等待時(shí)間了，"凱澤說(shuō)，"在這些真正老練的威脅行為者群體中，如今的勒索軟件與兩年前相比已截然不同。"

然后還有像Sicarii這樣的勒索軟件組織。這個(gè)犯罪團(tuán)伙似乎在去年12月才浮出水面，其最引人關(guān)注的特點(diǎn)是其存在缺陷的惡意軟件。Sicarii的加密程序在每次執(zhí)行時(shí)都會(huì)生成新的密鑰對(duì)，但隨后會(huì)丟棄私鑰，這意味著不存在可恢復(fù)的主密鑰，受害者能否解密自己的文件完全無(wú)從保證。

"要讓勒索軟件成功運(yùn)作，你需要三樣?xùn)|西：一把鎖、一把鑰匙——那是受害者付錢購(gòu)買的——以及能夠?qū)㈣€匙插入鎖中的能力，"凱澤說(shuō)，"他們忘記了開鎖孔，所以現(xiàn)在它變成了一款純粹的破壞性軟件。"

凱澤認(rèn)為，她所稱的"勒索軟件業(yè)余愛好者"使用了AI，但這并未幫助他們編寫出更優(yōu)質(zhì)的代碼或提升攻擊的復(fù)雜程度。

"他們顯然在每個(gè)階段都用了AI，然后把這些東西拼湊在一起——我不認(rèn)為他們用了智能體，就是在每個(gè)階段進(jìn)行粗糙的編碼，"凱澤說(shuō)，并指出這恰恰說(shuō)明了一個(gè)風(fēng)險(xiǎn)：不僅是技術(shù)精湛的網(wǎng)絡(luò)罪犯，就連那些技術(shù)拙劣的人，也正在將AI納入其攻擊鏈。

"你看到的是那些業(yè)余罪犯，AI在他們手中甚至比掌握這類技術(shù)的老練行為者更加危險(xiǎn)，"凱澤說(shuō)，"你有一大批業(yè)余人員，如果他們能從0%的有效率提升到5%或10%，對(duì)他們來(lái)說(shuō)就是巨大收益。但對(duì)于組織內(nèi)部的IT和安全專業(yè)人員而言，最大的威脅是這些粗劣、丑陋攻擊在數(shù)量上的激增。"

這些攻擊并不怎么隱蔽，很可能會(huì)觸發(fā)各種安全警報(bào)。"但如果攻擊量如此巨大，讓你疲于應(yīng)對(duì)，尤其是當(dāng)你的網(wǎng)絡(luò)沒(méi)有自動(dòng)化手段時(shí)，那么在你處理這些攻擊的同時(shí)，還有哪些更復(fù)雜的威脅正在悄然入侵？"

Q&A

Q1：Halcyon勒索軟件研究中心是什么？主要做什么？

A：Halcyon勒索軟件研究中心是由安全公司Halcyon于2025年成立的專項(xiàng)研究機(jī)構(gòu)，由前FBI網(wǎng)絡(luò)部門副助理局長(zhǎng)辛西婭·凱澤領(lǐng)導(dǎo)。該中心致力于調(diào)查和打擊勒索軟件威脅，已對(duì)Pay2Key、Sicarii等多個(gè)攻擊組織展開深入調(diào)查，旨在幫助企業(yè)和機(jī)構(gòu)更好地防御勒索軟件攻擊。

Q2：Pay2Key攻擊醫(yī)療機(jī)構(gòu)的手法有什么特點(diǎn)？

A：Pay2Key是一個(gè)具有伊朗政府背景的攻擊組織。在針對(duì)美國(guó)某醫(yī)療機(jī)構(gòu)的攻擊中，該團(tuán)伙提前數(shù)天獲取管理員賬戶權(quán)限，并在正式攻擊時(shí)僅用三小時(shí)完成勒索軟件部署和環(huán)境加密。此次攻擊未發(fā)現(xiàn)數(shù)據(jù)竊取行為，使用的勒索軟件變種相比以往版本具備更強(qiáng)的反檢測(cè)能力，目的更傾向于破壞而非索要贖金。

Q3：業(yè)余網(wǎng)絡(luò)罪犯使用AI會(huì)帶來(lái)哪些安全風(fēng)險(xiǎn)？

A：業(yè)余網(wǎng)絡(luò)罪犯利用AI輔助編寫攻擊代碼，雖然代碼質(zhì)量粗糙，但會(huì)大幅提升攻擊數(shù)量和頻率。即便攻擊成功率從0%提升到5%-10%，也會(huì)給企業(yè)安全團(tuán)隊(duì)帶來(lái)巨大壓力。大量低質(zhì)量攻擊不斷觸發(fā)安全警報(bào)，可能分散防御人員注意力，從而為更復(fù)雜的高級(jí)攻擊創(chuàng)造可乘之機(jī)。