AI 时代勒索组织新特征：自动化攻击链与多重勒索的攻防博弈

主要观点总结

本文摘取自安全牛近期发布的《AI时代勒索软件威胁与防护技术应用指南（2025版）》，从新型勒索组织结构、攻击链演变、策略创新及供应链攻击趋势等维度解析最新威胁格局。文章指出，勒索软件组织已从早期松散的黑客团伙演变为高度专业化、分工明确的地下“企业体”，攻击手段更加自动化、隐蔽化、协同化。新型勒索攻击已全面摆脱早期模式，演进为一条高度工程化、自动化和智能化的完整攻击链。

关键观点总结

关键观点1: 新型勒索软件组织的结构和特点

当前主流勒索组织普遍具备稳定的组织架构、成熟的商业运作模式以及跨地域协同能力，其运作方式在效率、隐蔽性和破坏力方面均显著增强。采用扁平化、模块化架构，核心层由负责恶意软件研发的开发者、管理基础设施的运营商和处理赎金协商的谈判专家组成，外围层则招募附属成员执行入侵。这种结构和分工的关键创新在于职能专业化。

关键观点2: AI在勒索攻击中的应用

AI技术显著提升了攻击效率，推动勒索攻击组织呈现“短周期、小团队、高产量”的特点。生成式AI（如定制化GPT模型）可批量创建高度逼真的钓鱼内容，显著提高了攻击的成功率与隐蔽性。此外，AI还优化赎金谈判，使平均支付率提高。攻击链也可通过AI实现“端到端”自动化编排，使得攻击链从侦察、渗透、横向移动到加密阶段都可以被自动化调度。

关键观点3: 新型勒索攻击链及特征

随着网络犯罪产业化分工的不断细化，勒索攻击已从传统“加密－勒索”的单一模式，演变为高度协同、精准打击的复合型攻击形态。攻击链呈现出“社会工程前置、权限穿透深化、攻击目标聚焦、勒索手段多元”的核心逻辑。创新初始入侵手段包括AI辅助的鱼叉式钓鱼邮件定制、暗网出售的高质量凭证等。软件供应链成为勒索的关键突破口，攻击者倾向于通过供应链攻击作为勒索的初始入口。此外，MSP/托管服务已成为新型勒索组织的重要突破点，攻击者一旦控制MSP，就可向数百客户横向扩散。

关键观点4: 新型勒索攻击策略复杂化和多重勒索模式

现代勒索攻击已不再是单一的加密威胁，而是形成了多重勒索模式，包括数据泄露威胁、DDoS攻击和法律威胁等。攻击者通过加密和数据窃取手段，结合AI生成或混淆的代码规避传统安全软件检测，形成复合式施压体系。针对工业控制系统和IoT设备的攻击也在增加，利用未打补丁的设备作为突破口，导致生产线停摆或数据泄露。