前FBI网络安全负责人：业余网络罪犯比专业黑客更危险

专访 这是当今最大的威胁，但她花了一段时间才真正意识到这一点。在FBI工作了二十年，长期致力于拦截和阻止来自中国、俄罗斯等国家的网络威胁之后，Halcyon勒索软件研究中心高级副总裁辛西娅·凯泽表示，她是"后来才真正想要专注于勒索软件"的。

"我曾是FBI的一名部门主任，负责国家行为者分析，包括朝鲜、伊朗、中国、俄罗斯等，"她在RSA大会期间接受采访时告诉The Register，"当时中国正在我们的关键基础设施上预先布局，构成一种潜在的生存威胁。"

"勒索软件对我来说是一个更缓慢的演变过程，让我意识到这才是今天正在偷走我们资产的威胁，是我们今天面临的威胁，而不是明天潜在的灾难性威胁，"凯泽说，"我对勒索软件也非常愤怒，因为它如今已将攻击目标瞄准了医院，正在夺走人的生命。"

2025年6月，凯泽离开了她在FBI网络部门副助理局长的职位，转而领导安全公司Halcyon新设立的勒索软件研究中心。该中心一个月后在Black Hat大会上正式亮相，致力于消除勒索软件这一顽疾。结合纯敲诈勒索攻击，这类威胁去年已给美国企业和消费者造成近1.55亿美元的损失。

过去几个月，她的团队调查了多起勒索软件感染事件，范围从归因于伊朗政府关联组织Pay2Key对美国某医疗机构发动的攻击，到由技术水平更低、更新兴的"勒索软件即服务"运营商Sicarii实施的入侵，不一而足。

勒索软件威胁谱系的两端，都可能对企业运营造成灾难性的破坏影响。

Pay2Key的感染事件发生在2月下旬，恰逢美国和以色列对伊朗发动军事打击前后。Halcyon的调查发现，这个伊朗背景的团伙在攻击发生前数天便已获取了一个被攻陷的管理员账户的访问权限，随后仅用三小时就完成了勒索软件部署并加密了整个环境。

"他们必然在攻击发生之前就已进入网络，访问权限是早已存在的，"凯泽说，并补充道，她无法明确地将此次勒索软件感染与中东战争直接挂钩。

"这说明，像Pay2Key这样具有政府背景的组织，可以在任何时候将现有的访问权限付诸行动，"她说，"当我看到这一点时，我想到了2022年的阿尔巴尼亚网络攻击事件。"美国政府曾对伊朗情报与安全部及其情报部长实施制裁，以回应那次早先导致阿尔巴尼亚公共服务与网站瘫痪的网络攻击。

"伊朗在那些网络上潜伏了14个月，实施间谍活动、收集电子邮件，然后将访问权限移交给一个攻击团伙付诸行动，"凯泽在谈及2022年的入侵事件时说道。

在此次针对医疗机构的Pay2Key攻击中，凯泽表示，该组织使用的勒索软件变种相比其2025年7月的入侵版本有了重大升级，内置了更强的反检测能力。此外，此次攻击没有任何数据被窃取的证据，这对于这个特定团伙来说并不寻常，也与当前更为普遍、更有利可图的"双重勒索"趋势背道而驰。

"这说明，确实存在一种与政府有所关联的独特勒索软件威胁，而且在这个案例中，其目的显然更多是破坏，而非单纯追求赎金和经济利益，"凯泽说。

与此同时，像Akira这样具有高度组织化财务动机的犯罪团伙，其攻击速度正变得越来越快，从初始入侵到完成加密的时间已不足一小时。根据Halcyon的调查，在过去12个月内，Akira在其数百起入侵案例中，从初始访问到完全加密的时间大多不超过四小时。

此外，该勒索软件运营商的解密工具还使用了一套特殊的"检查点"机制，确保即便加密过程中出现中断，大型文件仍可恢复。这使得向受害者支付赎金的方案听起来更具吸引力。

对于防御方而言，这意味着"你已经没有过去那种等待时间了，"凯泽说，"在这些真正老练的威胁行为者群体中，如今的勒索软件与两年前相比已截然不同。"

然后还有像Sicarii这样的勒索软件组织。这个犯罪团伙似乎在去年12月才浮出水面，其最引人关注的特点是其存在缺陷的恶意软件。Sicarii的加密程序在每次执行时都会生成新的密钥对，但随后会丢弃私钥，这意味着不存在可恢复的主密钥，受害者能否解密自己的文件完全无从保证。

"要让勒索软件成功运作，你需要三样东西：一把锁、一把钥匙——那是受害者付钱购买的——以及能够将钥匙插入锁中的能力，"凯泽说，"他们忘记了开锁孔，所以现在它变成了一款纯粹的破坏性软件。"

凯泽认为，她所称的"勒索软件业余爱好者"使用了AI，但这并未帮助他们编写出更优质的代码或提升攻击的复杂程度。

"他们显然在每个阶段都用了AI，然后把这些东西拼凑在一起——我不认为他们用了智能体，就是在每个阶段进行粗糙的编码，"凯泽说，并指出这恰恰说明了一个风险：不仅是技术精湛的网络罪犯，就连那些技术拙劣的人，也正在将AI纳入其攻击链。

"你看到的是那些业余罪犯，AI在他们手中甚至比掌握这类技术的老练行为者更加危险，"凯泽说，"你有一大批业余人员，如果他们能从0%的有效率提升到5%或10%，对他们来说就是巨大收益。但对于组织内部的IT和安全专业人员而言，最大的威胁是这些粗劣、丑陋攻击在数量上的激增。"

这些攻击并不怎么隐蔽，很可能会触发各种安全警报。"但如果攻击量如此巨大，让你疲于应对，尤其是当你的网络没有自动化手段时，那么在你处理这些攻击的同时，还有哪些更复杂的威胁正在悄然入侵？"

Q&A

Q1：Halcyon勒索软件研究中心是什么？主要做什么？

A：Halcyon勒索软件研究中心是由安全公司Halcyon于2025年成立的专项研究机构，由前FBI网络部门副助理局长辛西娅·凯泽领导。该中心致力于调查和打击勒索软件威胁，已对Pay2Key、Sicarii等多个攻击组织展开深入调查，旨在帮助企业和机构更好地防御勒索软件攻击。

Q2：Pay2Key攻击医疗机构的手法有什么特点？

A：Pay2Key是一个具有伊朗政府背景的攻击组织。在针对美国某医疗机构的攻击中，该团伙提前数天获取管理员账户权限，并在正式攻击时仅用三小时完成勒索软件部署和环境加密。此次攻击未发现数据窃取行为，使用的勒索软件变种相比以往版本具备更强的反检测能力，目的更倾向于破坏而非索要赎金。

Q3：业余网络罪犯使用AI会带来哪些安全风险？

A：业余网络罪犯利用AI辅助编写攻击代码，虽然代码质量粗糙，但会大幅提升攻击数量和频率。即便攻击成功率从0%提升到5%-10%，也会给企业安全团队带来巨大压力。大量低质量攻击不断触发安全警报，可能分散防御人员注意力，从而为更复杂的高级攻击创造可乘之机。