勒索软件、声誉与风险：Black Hat Europe 2025回顾与2026展望

在2025年底伦敦举办的Black Hat Europe大会上，安全防护中的常见漏洞以及技术政治化导致国家级网络犯罪等问题成为最受关注的议题。

这场年末重要会议以攻击技术演示、研究成果和工具培训而闻名，恰逢2025年重大网络安全事件频发之际召开。去年许多重大事件被泛泛地称为"网络攻击"，而非更具体的勒索软件或钓鱼攻击。朝日集团在声明中确认其服务器"遭受勒索软件攻击"，并表示"为防止进一步损害，我们对网络攻击的具体细节予以保留"。

加上涉及英国零售商的攻击事件，2025年的焦点已从追究攻击者身份转向保持在线运营和保护敏感客户数据。我们是否正在从归因国家行为者转向以防护为优先，同时改进响应能力？

技术的政治化维度

Black Hat创始人Jeff Moss在开幕时表示，由于所有"技术都具有政治性"，任何技术决策都会产生政治后果。他引用了1990年代围绕PGP算法的"加密战争"、关于技术后门的持续辩论以及2016年美国总统选举期间的虚假信息活动，强调："我们处在政治化环境中，无论你是否愿意承认。目前最具政治性的问题之一就是勒索软件。"

Moss还提到关于其DEF CON活动是否使用中国技术的声明，包括必须确认活动不使用中国技术，以及关于数据存储位置的声明。

勒索软件与LockBit分析

苏黎世联邦理工学院安全研究中心的高级研究员Max Smeets在主题演讲中分享了他对英国国家犯罪署在2024年"时间之神行动"中缴获的LockBit数据的分析经验。该行动渗透了LockBit系统，获取受害者数据并锁定控制者，后续分析发现这对该组织活动产生了"重大影响"。

Smeets通过分析LockBit数据发现，勒索软件和数据擦除攻击正在增加使用，后者专注于删除数据而非勒索。他基于对LockBit对话的研究得出几个观察结果：

只有少数LockBit附属机构真正赚到钱。谈判策略高度重复和程式化，附属机构遵循熟悉的剧本，变化很少。定价粗糙且非数据驱动，攻击者依赖估算而非深度分析来理解对受害者的影响力。附属机构更倾向于转向新受害者，而非进行长期谈判。

数据显示，在两个LockBit版本中，只有8%的受害者付费解密数据，强化了攻击者的单一目标：获得报酬。在付费的受害者中，他们在邮件对话列表中出现更频繁，且在后续事件中的付费金额并未减少。

Smeets还强调了声誉在勒索软件运营中的重要性。攻击者必须被信任能够解密数据且不泄露，重建基础设施往往比重建声誉更容易。

恶性和破坏性攻击趋势

Sophos反威胁部门威胁情报总监Rafe Pilling表示，现在有更多样化的威胁行为者进入勒索软件生态系统。"过去主要是俄语有组织犯罪及其同伙，现在包括西方、英国的英语威胁行为者，甚至青少年也参与勒索软件活动，其中一些演变为相当恶性和破坏性的攻击。"

关于声誉的重要性，Pilling解释说勒索软件依赖于品牌，受害者要有足够信心相信付费后能获得出路。如果这种信任被破坏——比如不提供解密——运营者的声誉就会受损。

"同时攻击的受害者数量与赚取的金额之间似乎存在某种反比关系，"Pilling说。"在较长时间内攻击较少数量的受害者，比尝试大爆炸式攻击要好得多。"

用户因素的影响

另一个反复出现的主题是用户的作用。混沌计算机俱乐部的Linus Neumann讨论了人为因素问题，认为真正的问题在于"构建和运营系统的人"。

呼应Moss关于未吸取过去教训的评论，Neumann表示太多攻击仍然是人为错误造成的，而在检测和恢复上投入了过多精力。他说，预防措施失败得太频繁。

"在理解业务需求并与员工对话之前，我们将继续失败，"他指出倾向于责备用户而不是修复为他们构建的环境。

Neumann声称从他的角度看"不存在未解决的IT安全问题"，引用了双因素认证、智能卡和端到端加密等技术进步——这些技术存在但仍未广泛或一致部署。

生成式AI增强放大和自动化

生成式AI也是突出话题，Tenable的Gavin Millard专注于那些不会"毁灭世界"但正在"更快、大规模地"增强放大和自动化的技术。

Millard警告说，存在重大安全问题和糟糕修复流程的组织可能最容易受到攻击。他指出智能体生成式AI可以帮助缩小"披露到暴露的差距"，如果正确使用，可以解决长期存在的基础卫生问题——同时也承认这不可避免地扩大了攻击面。

"要调动智能体大军，需要正确的上下文，这就是生成式AI将发挥巨大作用的地方，"Millard说。他指出生成式AI处理补丁的能力，注意到补丁应用不当可能导致网络瘫痪，生成式AI可以帮助确定应优先处理哪些漏洞，无论严重性评分如何。

"我们需要为智能体生成式AI设置护栏，"他说。"我们需要告诉智能体你不能修补任何需要重启的内容；不能修补任何需要管理员权限的内容。你需要为智能体生成式AI定义政策角色，以便在不中断运营的情况下工作。"

安全软件与研究人员保护

在漏洞话题上，微软的Tom Gallagher讨论了"设计安全"和"假设被攻破"的原则，作为公司构建更安全产品努力的一部分，强调了漏洞奖励计划和外部合作如何加强软件安全。

一个小组还讨论了漏洞披露和法律改革面临的挑战，特别是与英国《计算机滥用法》相关的问题。讨论强调了报告漏洞可能存在风险、耗时且无回报，研究人员面临法律威胁和职业生涯潜在损害。小组得出结论，需要为研究人员提供更好的激励和保护，漏洞报告应被视为公共利益。

总体而言，Black Hat Europe的主题强调了网络安全的政治、经济和社会维度——从技术和服务选择到围绕用户和技术卫生的企业治理，以及生成式AI如何重塑防守方和攻击方的能力。

随着2026年的开始，新挑战等待着我们，2025年的教训应该为组织提供良好服务。然而，许多这些主题都很熟悉且被反复讨论。这些问题是真正未解决的，还是仅仅持续存在？该行业在2026年底的状况可能有助于回答这个问题。

Q&A

Q1：LockBit勒索软件的运营模式有什么特点？

A：根据对LockBit数据的分析发现，只有少数附属机构真正赚到钱，谈判策略高度重复和程式化，定价粗糙且非数据驱动。数据显示只有8%的受害者付费解密，且附属机构更倾向于转向新受害者而非进行长期谈判。

Q2：为什么声誉对勒索软件运营如此重要？

A：勒索软件依赖于品牌信誉，受害者需要有足够信心相信付费后能获得解密。攻击者必须被信任能够解密数据且不泄露，一旦信任被破坏，运营者的声誉就会受损。重建基础设施往往比重建声誉更容易，这也是英国国家犯罪署打击LockBit的策略之一。

Q3：生成式AI对网络安全有什么影响？

A：生成式AI正在更快、大规模地增强放大和自动化能力。智能体生成式AI可以帮助缩小"披露到暴露的差距"，解决长期基础卫生问题，并协助漏洞优先级判断和补丁管理。但同时也扩大了攻击面，需要设置护栏来定义智能体的政策角色。