前FBI網(wǎng)絡(luò)安全負(fù)責(zé)人：業(yè)余網(wǎng)絡(luò)罪犯比專業(yè)黑客更危險

專訪 這是當(dāng)今最大的威脅，但她花了一段時間才真正意識到這一點(diǎn)。在FBI工作了二十年，長期致力于攔截和阻止來自中國、俄羅斯等國家的網(wǎng)絡(luò)威脅之后，Halcyon勒索軟件研究中心高級副總裁辛西婭·凱澤表示，她是"后來才真正想要專注于勒索軟件"的。

"我曾是FBI的一名部門主任，負(fù)責(zé)國家行為者分析，包括朝鮮、伊朗、中國、俄羅斯等，"她在RSA大會期間接受采訪時告訴The Register，"當(dāng)時中國正在我們的關(guān)鍵基礎(chǔ)設(shè)施上預(yù)先布局，構(gòu)成一種潛在的生存威脅。"

"勒索軟件對我來說是一個更緩慢的演變過程，讓我意識到這才是今天正在偷走我們資產(chǎn)的威脅，是我們今天面臨的威脅，而不是明天潛在的災(zāi)難性威脅，"凱澤說，"我對勒索軟件也非常憤怒，因?yàn)樗缃褚褜⒐裟繕?biāo)瞄準(zhǔn)了醫(yī)院，正在奪走人的生命。"

2025年6月，凱澤離開了她在FBI網(wǎng)絡(luò)部門副助理局長的職位，轉(zhuǎn)而領(lǐng)導(dǎo)安全公司Halcyon新設(shè)立的勒索軟件研究中心。該中心一個月后在Black Hat大會上正式亮相，致力于消除勒索軟件這一頑疾。結(jié)合純敲詐勒索攻擊，這類威脅去年已給美國企業(yè)和消費(fèi)者造成近1.55億美元的損失。

過去幾個月，她的團(tuán)隊調(diào)查了多起勒索軟件感染事件，范圍從歸因于伊朗政府關(guān)聯(lián)組織Pay2Key對美國某醫(yī)療機(jī)構(gòu)發(fā)動的攻擊，到由技術(shù)水平更低、更新興的"勒索軟件即服務(wù)"運(yùn)營商Sicarii實(shí)施的入侵，不一而足。

勒索軟件威脅譜系的兩端，都可能對企業(yè)運(yùn)營造成災(zāi)難性的破壞影響。

Pay2Key的感染事件發(fā)生在2月下旬，恰逢美國和以色列對伊朗發(fā)動軍事打擊前后。Halcyon的調(diào)查發(fā)現(xiàn)，這個伊朗背景的團(tuán)伙在攻擊發(fā)生前數(shù)天便已獲取了一個被攻陷的管理員賬戶的訪問權(quán)限，隨后僅用三小時就完成了勒索軟件部署并加密了整個環(huán)境。

"他們必然在攻擊發(fā)生之前就已進(jìn)入網(wǎng)絡(luò)，訪問權(quán)限是早已存在的，"凱澤說，并補(bǔ)充道，她無法明確地將此次勒索軟件感染與中東戰(zhàn)爭直接掛鉤。

"這說明，像Pay2Key這樣具有政府背景的組織，可以在任何時候?qū)F(xiàn)有的訪問權(quán)限付諸行動，"她說，"當(dāng)我看到這一點(diǎn)時，我想到了2022年的阿爾巴尼亞網(wǎng)絡(luò)攻擊事件。"美國政府曾對伊朗情報與安全部及其情報部長實(shí)施制裁，以回應(yīng)那次早先導(dǎo)致阿爾巴尼亞公共服務(wù)與網(wǎng)站癱瘓的網(wǎng)絡(luò)攻擊。

"伊朗在那些網(wǎng)絡(luò)上潛伏了14個月，實(shí)施間諜活動、收集電子郵件，然后將訪問權(quán)限移交給一個攻擊團(tuán)伙付諸行動，"凱澤在談及2022年的入侵事件時說道。

在此次針對醫(yī)療機(jī)構(gòu)的Pay2Key攻擊中，凱澤表示，該組織使用的勒索軟件變種相比其2025年7月的入侵版本有了重大升級，內(nèi)置了更強(qiáng)的反檢測能力。此外，此次攻擊沒有任何數(shù)據(jù)被竊取的證據(jù)，這對于這個特定團(tuán)伙來說并不尋常，也與當(dāng)前更為普遍、更有利可圖的"雙重勒索"趨勢背道而馳。

"這說明，確實(shí)存在一種與政府有所關(guān)聯(lián)的獨(dú)特勒索軟件威脅，而且在這個案例中，其目的顯然更多是破壞，而非單純追求贖金和經(jīng)濟(jì)利益，"凱澤說。

與此同時，像Akira這樣具有高度組織化財務(wù)動機(jī)的犯罪團(tuán)伙，其攻擊速度正變得越來越快，從初始入侵到完成加密的時間已不足一小時。根據(jù)Halcyon的調(diào)查，在過去12個月內(nèi)，Akira在其數(shù)百起入侵案例中，從初始訪問到完全加密的時間大多不超過四小時。

此外，該勒索軟件運(yùn)營商的解密工具還使用了一套特殊的"檢查點(diǎn)"機(jī)制，確保即便加密過程中出現(xiàn)中斷，大型文件仍可恢復(fù)。這使得向受害者支付贖金的方案聽起來更具吸引力。

對于防御方而言，這意味著"你已經(jīng)沒有過去那種等待時間了，"凱澤說，"在這些真正老練的威脅行為者群體中，如今的勒索軟件與兩年前相比已截然不同。"

然后還有像Sicarii這樣的勒索軟件組織。這個犯罪團(tuán)伙似乎在去年12月才浮出水面，其最引人關(guān)注的特點(diǎn)是其存在缺陷的惡意軟件。Sicarii的加密程序在每次執(zhí)行時都會生成新的密鑰對，但隨后會丟棄私鑰，這意味著不存在可恢復(fù)的主密鑰，受害者能否解密自己的文件完全無從保證。

"要讓勒索軟件成功運(yùn)作，你需要三樣?xùn)|西：一把鎖、一把鑰匙——那是受害者付錢購買的——以及能夠?qū)㈣€匙插入鎖中的能力，"凱澤說，"他們忘記了開鎖孔，所以現(xiàn)在它變成了一款純粹的破壞性軟件。"

凱澤認(rèn)為，她所稱的"勒索軟件業(yè)余愛好者"使用了AI，但這并未幫助他們編寫出更優(yōu)質(zhì)的代碼或提升攻擊的復(fù)雜程度。

"他們顯然在每個階段都用了AI，然后把這些東西拼湊在一起——我不認(rèn)為他們用了智能體，就是在每個階段進(jìn)行粗糙的編碼，"凱澤說，并指出這恰恰說明了一個風(fēng)險：不僅是技術(shù)精湛的網(wǎng)絡(luò)罪犯，就連那些技術(shù)拙劣的人，也正在將AI納入其攻擊鏈。

"你看到的是那些業(yè)余罪犯，AI在他們手中甚至比掌握這類技術(shù)的老練行為者更加危險，"凱澤說，"你有一大批業(yè)余人員，如果他們能從0%的有效率提升到5%或10%，對他們來說就是巨大收益。但對于組織內(nèi)部的IT和安全專業(yè)人員而言，最大的威脅是這些粗劣、丑陋攻擊在數(shù)量上的激增。"

這些攻擊并不怎么隱蔽，很可能會觸發(fā)各種安全警報。"但如果攻擊量如此巨大，讓你疲于應(yīng)對，尤其是當(dāng)你的網(wǎng)絡(luò)沒有自動化手段時，那么在你處理這些攻擊的同時，還有哪些更復(fù)雜的威脅正在悄然入侵？"

Q&A

Q1：Halcyon勒索軟件研究中心是什么？主要做什么？

A：Halcyon勒索軟件研究中心是由安全公司Halcyon于2025年成立的專項研究機(jī)構(gòu)，由前FBI網(wǎng)絡(luò)部門副助理局長辛西婭·凱澤領(lǐng)導(dǎo)。該中心致力于調(diào)查和打擊勒索軟件威脅，已對Pay2Key、Sicarii等多個攻擊組織展開深入調(diào)查，旨在幫助企業(yè)和機(jī)構(gòu)更好地防御勒索軟件攻擊。

Q2：Pay2Key攻擊醫(yī)療機(jī)構(gòu)的手法有什么特點(diǎn)？

A：Pay2Key是一個具有伊朗政府背景的攻擊組織。在針對美國某醫(yī)療機(jī)構(gòu)的攻擊中，該團(tuán)伙提前數(shù)天獲取管理員賬戶權(quán)限，并在正式攻擊時僅用三小時完成勒索軟件部署和環(huán)境加密。此次攻擊未發(fā)現(xiàn)數(shù)據(jù)竊取行為，使用的勒索軟件變種相比以往版本具備更強(qiáng)的反檢測能力，目的更傾向于破壞而非索要贖金。

Q3：業(yè)余網(wǎng)絡(luò)罪犯使用AI會帶來哪些安全風(fēng)險？

A：業(yè)余網(wǎng)絡(luò)罪犯利用AI輔助編寫攻擊代碼，雖然代碼質(zhì)量粗糙，但會大幅提升攻擊數(shù)量和頻率。即便攻擊成功率從0%提升到5%-10%，也會給企業(yè)安全團(tuán)隊帶來巨大壓力。大量低質(zhì)量攻擊不斷觸發(fā)安全警報，可能分散防御人員注意力，從而為更復(fù)雜的高級攻擊創(chuàng)造可乘之機(jī)。