勒索軟件的流行也越來越嚴重，研究人員發現，與 2020 年相比，2021 年針對美國組織的勒索軟件攻擊增加了兩倍，針對英國組織的攻擊增加了一倍。這場危機將30個國家聚集在一起，討論了一項針對加密貨幣監管、安全彈性、攻擊中斷和國際網絡外交的反勒索軟件計劃。盡管有這些具有里程碑意義的政策和執法努力，但可以肯定地說，勒索軟件仍將是首要威脅，并且不會消失。

隨著勒索軟件的滲透，網絡攻擊者將在 2022 年繼續發展技術

勒索軟件團伙在如何選擇目標以及如何進行攻擊方面變得越來越老練。許多組織認為，如果他們有備份，勒索軟件不應該是一個嚴重的問題，因為它們可以迅速使業務運營恢復在線。但現代攻擊不僅僅是加密或數據泄露。他們專注于最大限度地中斷業務運營，包括針對加密和刪除的備份。2022 年，我們可能會看到勒索軟件團伙以云服務提供商以及備份和歸檔提供商為目標。

關鍵基礎設施組織和企業將繼續評估他們在遭受攻擊后能夠以多快的速度恢復運營，以及他們能夠依賴的范圍，以及網絡保險公司支付全部贖金和昂貴的系統維修所需的成本。

1 月初，微軟研究人員發現了針對多個烏克蘭組織的惡意軟件的證據，這些組織部署了看似勒索軟件但實際上是擦除器的軟件。惡意軟件會顯示贖金記錄，然后在目標設備斷電時執行擦除器。如果被其他非國家行為者采用，這種演變將超越勒索軟件，一些組織將無法在這些類型的攻擊中幸存下來。

復雜的勒索軟件團伙將擴大他們的詳細定位工作，從僅針對大型和知名目標的“大型游戲狩獵”，到使用更多資源直接針對中小型組織。隨著通過自動化和利用 供應鏈攻擊提高可擴展性，勒索軟件團伙將擁有擴展其業務的資源。大型組織擁有更多的預算和更多的人員，他們可以優先處理資源來應對勒索軟件的影響——這對小型企業來說會困難得多。

勒索軟件運營商不僅擴大了他們可以攻擊的目標，而且能夠執行攻擊的網絡攻擊者群體也在擴大。勒索軟件即服務 (RaaS)的興起使低技能的威脅行為者可以訪問復雜的惡意軟件，從而降低了攻擊者的進入門檻。RaaS 擴展了犯罪生態系統，包括在安裝惡意軟件之前發現并攻擊目標的較低級別的威脅參與者。威脅參與者越來越多地使用機器人來自動化初始攻擊，使他們在系統中站穩腳跟。

網絡犯罪分子之間也存在不同程度的專業性，從經驗豐富的退伍人員到缺乏專業知識的“腳本小子”。該陣列轉化為未經測試或魯莽使用復雜工具的更大潛力。

勒索軟件組將反彈

勒索軟件組具有彈性。即使政府壓力迫使勒索軟件組織解散或對其提起刑事指控，它們仍將繼續重塑品牌并重新出現。例如，被 FBI 確認為攻擊 Colonial Pipeline 的幕后黑手 DarkSide 在攻擊一周后關閉。不久之后，BlackMatter 出現了，人們普遍認為它是同一網絡犯罪集團的更名版本。

今年早些時候，俄羅斯安全機構宣布逮捕了幾名屬于臭名昭著的 REvil 勒索軟件團伙的成員，并取消了其行動。雖然這是針對主要群體的重要一步，但它不太可能反映俄羅斯對網絡犯罪團伙的政策的長期變化。這些逮捕幾乎肯定不會標志著 REvil 的終結。

五個勒索軟件組織組成了一個卡特爾來交換數據和“最佳”實踐。這些組織包括 Wizard Spider（與 Ryuk 和 Conti勒索軟件有關）、Twisted Spider（開發 Maze 并使用 Egregor）、Viking Spider（Ragnar 背后的組織）和 LockBit。

即使政府壓力迫使勒索軟件團體解散或對勒索軟件團伙提起刑事指控，這些團體仍將繼續重塑品牌并以更復雜的技術和能力重新出現。

靜態“強化”外線防守不是解決辦法——動態自衛才是解決之道

對于組織構建系統來抵御網絡攻擊，安全領導者需要思考，更重要的是， 在最初的漏洞之外進行防御 ，以最大限度地保持業務運營的連續性。以防御網絡邊界為中心的防火墻等安全防御措施不足以抵御不斷演變的威脅。

真正動態的防御是可以實現的。組織需要積極執行業務“正常”，并在惡意異常行為的最早跡象（例如文件加密或數據泄露）中破壞攻擊。安全技術需要學習、做出微觀決策并采取相應的反應，以便在數據泄露或加密發生之前及早發現并阻止攻擊。

攻擊者敏銳地意識到他們需要逃避的依賴威脅情報的防御工具，并了解許多組織采用的傳統孤立方法的局限性。攻擊者在短時間內發現有價值的信息、竊取文件并加密數據。防御者檢測和阻止攻擊的競爭條件和響應窗口越來越小；安全團隊和解決方案的響應速度必須更快。

網絡安全不再是人為的問題。組織需要采用基于人工智能的保護措施，以抵御日益自動化的勒索軟件攻擊。在網絡攻擊快速發展的時代，當安全團隊不在辦公室時，威脅行為者會故意發動攻擊，人工智能技術在采取有針對性的行動來遏制攻擊而不中斷正常業務方面變得至關重要。