勒索軟件的演變代表了過去三十年網絡安全領域最重要的轉變之一。

自20世紀90年代，作為一種相對粗糙的數字勒索形式起步以來，勒索軟件如今已經演變成一種極為復雜、動輒造成數十億美元損失的新型網絡威脅。

1989年，首個勒索軟件——AIDS特洛伊木馬出現，它要求受害者向巴拿馬的一個郵政信箱郵寄189美元，這也是最原始的勒索攻擊，隨著網絡攻擊技術的不斷發展，已經演變為采用高級加密、雙重勒索策略、加密貨幣支付的一場精心策劃的網絡攻擊行動。

這種演變不僅反映了技術的進步，也反映了網絡犯罪本身的變化，機會主義者已經讓位于以類似企業的效率運作的專業犯罪組織。通過審視20世紀90年代至2024年的關鍵勒索軟件毒株和轉折點，我們可以驚喜分析，勒索攻擊是如何從根本上重塑了網絡安全實踐，并迫使組織重新思考數據保護方法。

勒索軟件的起源：AIDS特洛伊木馬

隨著1989年AIDS特洛伊木馬（常稱為PC Cyborg）的出現，勒索軟件首次在公眾面前亮相，這是世界上有記錄的第一個勒索軟件實例。該特洛伊木馬通過將2萬個受感染的軟盤，發送給在瑞典舉行的世界衛生組織全球艾滋病會議的參與者進行傳播。惡意軟件由約瑟夫·波普博士創建，并插入磁盤上的艾滋病問卷中。

起初，該軟件看似無害，但在重啟90次后，惡意軟件加密了文件名并要求支付贖金。為了恢復對其系統的訪問權限，受害者被告知向巴拿馬的一個郵政信箱存入189美元。盡管當時的攻擊是新穎的，但按今天的標準來看卻很原始。

由于勒索軟件加密的是文件名而不是內容，而且支付方式依賴于海外匯款單，受害者很難遵從要求。

盡管只有很少的受害者支付贖金，但由于其影響而非財務成功，這次攻擊引起了很多關注。在某些情況下，受害者因擦除和重建計算機而丟失了重要的研究數據。幸運的是，有網絡安全專家創建了一個解密器，允許受害者在不支付贖金的情況下檢索文件。

盡管AIDS特洛伊木馬是一次開創性的網絡攻擊，但它仍然是一次孤立事件。在20世紀九十年代，勒索軟件并不常見，因為當時幾乎沒有數字支付選擇，也沒有廣泛互聯的網絡。這些對惡意軟件的發展至關重要，也為后來幾十年更先進、更具破壞性的勒索軟件行動奠定了基礎。

勒索軟件演變的早期（2004-2007）

2004-2005年

2000年代初，勒索軟件歷史上的一個重要轉折點，GPCoder成為當代勒索軟件爆發的先驅。GPCoder于2005年被發現，可加密重要的數據文件，包括數據庫、電子表格和文檔，其策略包括在被影響的目錄中放置勒索說明，要求通過西聯匯款或高級短信支付200美元，盡管當時它尚未被正式歸類為勒索軟件。但是，這一勒索策略為后面即將到來的勒索軟件攻擊奠定了基礎。

2005-2006年

2005年，勒索軟件迎來了一次重大進步，Archievus首次使用了RSA非對稱加密，因此迫使受害者必須支付贖金才能解密其數據。在其詳細的說明中，Archievus警告受害者不要依賴外部援助或系統備份，這一主題至今仍在勒索軟件電子郵件中存在。盡管技術上有所進步，但此次勒索攻擊依舊有一個十分關鍵的缺陷：所有受害者的解密密碼是一樣的，這意味著只需要支付一份贖金，即可解密所有的文檔。

2007年：鎖定勒索軟件出現

2007年，鎖定勒索軟件變體首次出現，極大地改變了勒索軟件的情況。與基于加密的毒株不同，這些攻擊試圖通過關閉包括鍵盤、鼠標等計算機必要的功能，完全將受害者排除在其設備之外。這些變體經常針對俄羅斯用戶，并通過顯示成人圖像等激進策略強迫受害者服從。早期勒索軟件開發者使用了多種貨幣化技術，如通過高級電話呼叫或短信消息要求支付。

加密貨幣和勒索軟件即服務（RaaS）

隨著網絡犯罪的發展，威脅行為者不斷變化以提高收入并避免被發現。Vundo勒索軟件在2009年首次出現，它會加密受害者的文件并要求支付贖金以解密。

2010年加密貨幣的出現進一步改變了游戲規則，為犯罪分子提供了一種去中心化的、無法追蹤的支付方式。特別是比特幣，由于其允許即時跨境支付，成為勒索軟件的首選貨幣，使執法部門更難以追蹤非法活動。

2012年，勒索軟件即服務（RaaS）的引入，勒索軟件商業模式得到了巨大的發展。這種策略首先被Reveton勒索軟件使用，它假裝成執法人員，威脅受害者支付贖金否則將面臨嚴重的法律后果。RaaS 不僅使勒索軟件更容易傳播，而且通過降低技術門檻，也讓低技術的黑客們更容易進入市場。

恐嚇軟件是當年的一種有利可圖的策略。與傳統的勒索軟件不同，恐嚇軟件使用心理操縱來要求金錢以避免所謂的懲罰，并顯示虛假的執法警告。盡管與勒索軟件有類似的意圖，但恐嚇軟件是網絡犯罪生態系統中的一個獨特現象，因為它依賴于基于恐懼的欺騙。

勒索軟件的上升期

2013年至2016年間，勒索軟件發生了重大變化，導致當代勒索軟件作為一種反復出現的全球威脅而興起。在此期間，勒索軟件攻擊的范圍不斷擴大，不僅針對Windows計算機，還針對其他操作系統和各種設備。

2013年推出的CryptoLocker勒索軟件，是勒索軟件史上一個重要的里程碑，它展示了基于加密的勒索攻擊具有無與倫比的破壞力。CryptoLocker通過僵尸網絡和網絡釣魚電子郵件傳播，使用公鑰-私鑰加密鎖定受害者的文件，并要求在短時間內支付贖金，最初的價格是300美元的比特幣或MoneyPak。

隨著CryptoLocker的出現，勒索軟件發生了翻天覆地的變化。在實施方面，它成為了后續勒索軟件變體的模型。到2015年底，聯邦調查局估計受害者已支付超過2700萬美元。如此龐大的收益導致勒索軟件的創作激增，在隨后的幾年里出現了許多變體。

CryptoLocker的出現還促進了網絡安全公司與執法部門之間日益增長的合作。2014年，一項包括私人企業和組織（如美國計算機緊急響應小組和歐洲刑警組織）在內的多國行動，拆除了支持CryptoLocker的基礎設施。其運營商、俄羅斯國民葉夫根尼·米哈伊洛維奇·博加切夫被起訴，雖未成功捕獲，但拆除行動大大減少了CryptoLocker的影響。

CryptoLocker還進一步展示了勒索軟件行為者的多才多藝和頑強，以及成功打擊網絡犯罪所需國際合作的重要性。即使最初的毒株被消除，它帶來的基本策略仍然影響著今天的勒索軟件活動。

到2016年，隨著Locky和Petya等主要毒株在規模和復雜性方面的顯著優勢，勒索軟件已成為一種強大的網絡威脅。Locky在當年首次亮相時，立即因其積極的傳播策略（包括廣泛的網絡釣魚活動）而聞名。

Petya帶來了勒索軟件功能的一次飛躍。與之前主要加密單個文件的前身不同，Petya針對主引導記錄（MBR）和主文件表（MFT）。該勒索軟件表明，通過阻止受害者訪問整個系統，可以更成功地使組織無法運作，并要求支付更高的贖金以恢復訪問權限。

其他勒索軟件，包括Cerber、TeslaCrypt和Jigsaw在內，也在這一時期蔓延，這使2016年被稱為“勒索軟件之年”。這些變體利用網絡釣魚策略、漏洞利用和惡意廣告中的漏洞，大批量地感染計算機。所有這些行動共同推動了勒索軟件經濟體量增加，勒索支付總額首次超過了10億美元大關。

政府行為者登場：Petya和WannaCry

2017年的安全事件是勒索軟件發展，及其對網絡安全和地緣政治更廣泛影響的另一個重要轉折點。WannaCry和Petya這兩個著名的實例展示了勒索軟件的破壞性潛力，同時也帶來了包括國家支持的倡議在內的網絡操作的復雜性。

在感染了150多個國家的數十萬臺系統后，WannaCry迅速引起了國際關注。WannaCry利用美國國家安全局（NSA）泄露的，微軟服務器消息塊（SMB）協議中的EternalBlue漏洞，以蠕蟲形式自行傳播。慶幸的是安全研究員Marcus Hutchins發現了一個終止其傳播的關鍵因素，盡管WannaCry 影響遍及全球，但該發現有效阻止了攻擊的傳播并減輕了影響。但由于沒有有效的解密密鑰，用戶依舊無法恢復數據。至2017年年底，部分國家將WannaCry蠕蟲病毒歸咎于朝鮮，突顯了其作為國家支持的勒索軟件網絡攻擊前兆的重要性。

在很短的時間內，Petya以截然不同的目標，但在操作上卻十分類似。盡管它偽裝成勒索軟件，但其實更像是一種擦除器，即使用戶支付了贖金也無法恢復數據。除了其他漏洞外，該攻擊還利用了EternalBlue漏洞。

它通過入侵烏克蘭一款流行的會計程序M.E.Doc的更新進行傳播。最初該攻擊只是針對烏克蘭基礎設施，例如金融、能源和政府部門，但在不久之后，Petya迅速擴展到烏克蘭之外，并干擾了許多企業的國際業務。

在2018年，Petya攻擊被歸咎于俄羅斯國家行為者，而這種攻擊以金融勒索為幌子，實際上卻是將惡意軟件用作地緣政治的工具。

這些事件突顯了網絡安全的重要發展。它們展示了出于情報目的創建的漏洞，如何被轉化為武器并在全球范圍內使用。此外，網絡攻擊技術成為國際沖突和戰略的關鍵要素的時代已經到來，國家支持與常規網絡犯罪之間的界限變得模糊。Petya凸顯了勒索軟件在地緣政治影響方面的潛力，改變了各國和企業隨后幾年對網絡安全的看法，而WannaCry則使勒索軟件成為一個廣為人知的問題。

勒索軟件運營商瞄準大玩家

到2018年，勒索軟件行動已從無差別攻擊發展為更有針對性的高價值實體，包括交通網絡、醫療服務提供商、州地方政府以及工業公司。這種變化有時被稱為“大狩獵戰術”，標志著一種戰略轉變，攻擊者瞄準擁有重要資源和關鍵運營的組織，以獲得更高的收入。

因此，這類目標在遭受勒索攻擊后，常面臨極為嚴重的后果，包括財務壓力、聲譽損害、業務中斷等。

大約在同一時間，不同的數據竊取技術被納入勒索軟件策略，使其變的更加復雜。例如GrandCrab RaaS勒索病毒結合了文件加密和數據勒索能力，就是其中的典型案例。在加密受害者的系統之前，攻擊者使用這些工具提取憑據、私人文件、屏幕截圖和其他重要數據，增加了威脅性和勒索贖金的成功率。

雙重勒索技術的出現

Maze是首個開始使用雙重勒索的勒索軟件。除了加密受害者的文件外，該策略還包括竊取私人信息并威脅公開發布，直到受害者支付進一步的贖金。即使有強大恢復系統的企業，也面臨其被盜數據被公開的風險，這一創新使擁有備份的企業也感到很棘手，從而提高勒索成功率。

很快，這種勒索策略被其他勒索組織利用，增加了受害者遵守勒索要求的壓力。

在2019年至2020年期間，作為這一發展的一部分，特定的泄露網站開始出現在暗網上。這些平臺通過充當被盜數據的開放存儲庫，增加了對受害者的財務和聲譽損害。盡管泄露網站也通過披露憑據和私人數據，進一步刺激了勒索攻擊的發展，但它們也為網絡安全研究人員提供了有用的線索，使他們能夠追蹤勒索軟件活動并針對其背后的組織。

雙重或三重勒索？

到2020年，隨著“三重勒索”策略的引入，勒索軟件進一步發展。通過增加額外的壓力，例如針對其數據被盜的人，威脅進行第二次攻擊，分布式拒絕服務（DDoS）攻擊等，這種策略擴展了雙重勒索。與此同時，針對工業控制系統（ICS）和運營技術（OT）的勒索軟件開始出現，例如EKANS（Snake）惡意軟件，也標志著勒索攻擊開始轉向針對關鍵基礎設施。

LockBit和RaaS的增加

到2020年，RaaS勒索軟件發生了顯著變化，LockBit勒索組織成為其中的佼佼者。為了讓不同專業水平的攻擊者都能租用先進的工具和基礎設施，LockBit 開始采用“大眾化”的運營策略，讓低技術的攻擊者可以展現高攻擊能力。

RaaS生態系統的穩健性保證了即使在執法部門取得勝利（如關閉LockBit網站）的情況下，也能快速恢復并進行持續攻擊。由于這些平臺進一步拓展了靈活性，附屬機構能夠在不受干擾的情況下引入新的勒索軟件病毒。

同時，Conti勒索軟件優先考慮數據竊取而非加密，重新定義了勒索策略。自2020年以來，他們經常使用網絡入侵、敏感數據盜竊和公開曝光的恐懼來迫使支付。這種方法之所以有效，是因為企業不得不應對增加的財務需求以及聲譽、監管問題。

2021年對Colonial Pipeline的攻擊展示了勒索軟件嚴重的現實世界后果。在一條重要的能源管道暫停六天后，出現了廣泛的汽油短缺，突顯了關鍵基礎設施的脆弱性。贖金支付揭示了公司在壓力下必須做出的艱難選擇，權衡給予攻擊者更多信心的可能性與恢復運營的需求。

新的犯罪業務：初始訪問經紀人

到2020年代初，網絡犯罪生態系統觀察到勒索軟件運營策略和框架的重大進步。初始訪問經紀人（IABs）的出現并作為關鍵參與者，使RaaS的擴張成為可能。IABs通過出售對被黑網絡的訪問權限，簡化了成熟的勒索軟件團伙的運營，并為新手攻擊者降低了門檻。這種合作迅速改變了勒索軟件格局，使威脅行為者能夠專注于更有效地發起和控制其攻擊。

到2023年，雙重勒索甚至三重勒索變得更加普遍。除了數據加密和公開披露威脅外，攻擊者還普遍采用分布式拒絕服務（DDoS）攻擊甚至監管利用，例如向證券交易委員會（SEC）報告違規行為以對受害者施加壓力。由于這些多方面的策略，勒索軟件攻擊變得更加復雜，迫使防御方應對變得越來越有創意和足智多謀的對手。

勒索軟件的運營模式也發生了變化。威脅組織改變其身份并實施更有效的支付方式，以逃避處罰。許多人采用類似企業的方法來處理其有害活動，通過實施類似客戶支持的程序（如自助服務臺），以提高受害者合規性。這些模式突顯了勒索軟件運營的組織成熟度和技術復雜性的持續上升。

未來展望

由于全球執法部門和復雜的網絡安全防護措施的壓力加大，勒索軟件演變所采用的策略發生了顯著變化。最近的事件表明了一種更積極、更靈活的策略來克服這些障礙。

到2023年底，著名的勒索軟件組織已經改變了他們的策略以保持盈利并對受害者施加壓力。這涉及到利用監管框架、利用公開披露和實施新的談判技巧。例如，關注保險公司或利用第三方披露等策略顯示出減少對直接勒索支付的依賴并最大化影響的趨勢。

此外，在2023年的后幾個月，明顯強調多階段勒索策略。在黑客攻擊之后，像Royal和Akira這樣的團體加強了對受害者的攻擊，以獲得對其更多的控制權。類似地，AlphV表現出將威脅擴散到主要目標之外，表明勒索軟件生態系統朝著更具創意和擴展性的勒索形式的大趨勢。

勒索軟件技術的發展強調了企業保持警惕防范違規行為，以及在首次入侵后數年出現的復雜和持久威脅做好準備的重要性。

在未來，由AI驅動的自動化和偵察推動的超針對性、多層次勒索嘗試將在勒索軟件中變得更加普遍。威脅行為者將逐步利用操作技術系統和物聯網中的新漏洞，特別是在供應鏈和關鍵基礎設施中，這將對整個行業產生多米諾骨牌效應。

參考來源：https://socradar.io/the-evolution-of-ransomware-from-simple-encryption-to-double-extortion-tactics/