×

从软盘病毒到Claude Mythos:勒索软件如何演变成数十亿美元黑产

科学 2026-04-25 勒索软件, 网络安全, 人工智能, 加密货币, 网络犯罪 2 次浏览

当进化生物学家约瑟夫·波普在 1989 年写出首个有记录的勒索软件时,他几乎不可能预见,这种原本带有“科普”意味的恶意程序,会在几十年后演变成足以拖垮经济体系的主流犯罪商业模式。

当时,波普在世界卫生组织工作,他的初衷是提醒公众:忽视健康警告、不安全性行为以及(人类)病毒传播的风险。他向人们寄出约 2 万张软盘,用户一旦加载,就会弹出勒索信息,要求支付费用以恢复据称被加密的文件——实际上文件并未真正加密,只是文件名被修改。波普随后被捕,被控 11 项勒索罪名,但最终被判定精神状况不适合受审。

1996 年,两位哥伦比亚大学的计算机科学家发表论文,详细说明了犯罪分子如何在波普方案基础上进行技术升级,从而实现大规模敲诈。其核心思路是利用恶意软件,对个人或组织的文件和数据进行加密、阻断访问或窃取。

不过,要让勒索软件真正成为可持续的犯罪“生意”,还需要两个关键条件:一是难以被监控的通信渠道,二是脱离传统金融监管的支付方式。

2004 年,美国情报机构公开的 Tor 协议,为匿名通信提供了基础设施,解决了第一个问题。随后,加密货币的兴起——尤其是 2013 年起比特币自动取款机在北美城市出现——为勒索软件提供了相对隐蔽的收款手段,补齐了第二块拼图。

如今,人工智能进一步降低了门槛:编写恶意代码、生成多语种、极具迷惑性的钓鱼邮件变得轻而易举。Anthropic 最新的 AI 模型 Claude Mythos 甚至已经在实验中展现出比人类更强的入侵计算机系统能力。

作为长期研究敲诈犯罪的学者,我对公众和政治层面对勒索软件威胁的麻木愈发担忧。要理解当前的风险,有必要回顾过去二十年勒索软件的演化路径,以及每一轮在计算机安全、执法手段和数据监管上的变化,如何不断催生新的犯罪策略。

剔除中间人:第一、二代勒索软件

第一代勒索软件在 2010 年代中期开始引发全球关注,被称为“商品勒索软件”。代表案例是由俄罗斯黑客开发的 Cryptolocker。攻击者入侵了数十万台计算机,试图绕过传统金融欺诈中需要的中间人,直接向受害者索要赎金。他们证明,大多数受害者愿意为解锁被加密的数据支付一笔相对较小的费用。

随着技术水平参差不齐的黑客大量涌入这一新兴市场,受害者之间开始共享恶意运营者的信息,一些信誉极差的团伙因此破产。这种“市场淘汰”推动了 2018 年左右第二代勒索软件的出现,如 Ryuk。

在这一阶段,犯罪分子放弃了无差别的大规模“撒网式”攻击,转而精确锁定资金雄厚的单个企业。他们为每个目标量身定制赎金金额,与企业直接谈判,甚至在收款后提供解密协助。尽管管理成本上升,但迅速攀升的赎金足以覆盖这些支出。

面对这种威胁,许多公司开始加大安全投入:部署多因素认证、加强威胁监控和预警系统,并及时为软件打补丁以修复已知漏洞。

然而,新冠疫情带来的全球远程办公潮,很快抵消了这些安全进步。大量员工在家中使用安全性较差的设备和网络连接,使组织整体暴露在更大的攻击面之下。

数十亿美元产业:第三代“双重敲诈”

下一轮勒索软件创新,与企业备份系统的普及密切相关。越来越多的组织能够通过备份自行恢复被加密的文件,不再完全依赖犯罪分子提供解密工具。同时,欧洲和英国等地陆续实施更严格的数据隐私法规,如 GDPR。

2019 年出现的第三代勒索软件,开始将这些隐私法规“反向武器化”:攻击者威胁企业,如果不支付赎金,就会泄露客户或员工的敏感数据,从而触发监管机构的巨额罚款。犯罪团伙会主动寻找并窃取组织最机密的文件,再通过专门的暗网泄露网站发布或威胁发布。

这种“加密 + 泄露”的双重敲诈模式,让许多原本依靠备份就能恢复业务的企业,再次被迫坐回谈判桌。

勒索软件由此成长为一个数十亿美元规模的产业。以俄罗斯庇护下的 Conti 团伙为例,其雇佣了数百名成员,是多起创下赎金纪录案件的关键参与者之一。由于对关键基础设施和医院发动攻击,该团伙在 2023 年遭到英国政府制裁。

在这种新形势下,许多政府不得不重新审视对数据泄露的高额罚款政策,因为相当一部分泄露事件源自恶意攻击而非企业主动违规。与此同时,执法机构与私营安全公司加强合作,针对规模最大、手段最恶劣的勒索软件团伙展开联合打击。

第四代:AI 驱动、按需租用的勒索工具

当前的第四代勒索软件,建立在最新 AI 技术之上,呈现出更高的灵活性和“轻量化”特征。任何获得网络访问权限的人,都可以在暗网上按需租用“武器级”恶意软件,而无需与某个固定团伙建立长期合作关系。

先进的 AI 黑客工具,使勒索软件对更多类型的犯罪分子和带有政治目的的黑客组织开放。至今,约四分之一的安全入侵事件最终仍以支付赎金告终。对于那些受到本国政府庇护的网络犯罪者而言,他们真正需要担心的,往往只有自身数字基础设施遭到西方执法部门的反制。

未吸取的教训

尽管关于 Claude Mythos 的报道显示,即便是最先进的网络防御体系也可能存在脆弱点,但更令人不安的是,许多个人和组织仍在使用过时、未打补丁或只做了部分升级的软件。这意味着,早期代际的勒索软件技术依然能够带来可观收益。

波普当年通过邮寄软盘,试图推动更好的性健康意识;而今天,糟糕的“网络卫生”却让大量公共和私营网络暴露在恶意软件攻击之下。他那次早期勒索软件事件所传递的核心教训——保持警惕,认真对待健康警告——在数字世界中依旧只被部分吸收。

许多西方社会似乎已经默许网络犯罪分子在互联网经济中“抽血”。即便医院和医疗机构遭受攻击、造成持续的人员伤亡,也尚未激发足够强烈的政治与社会反应来根除这一严重威胁。

在当前紧张的地缘政治环境下,那些依附网络犯罪、并从中获利的政府,是否会被说服或被迫停止针对关键国家基础设施的攻击,前景愈发不明朗。社会各个层面都需要显著提升自身的网络防御能力和安全意识。

本文内容改写自 The Conversation 文章,经知识共享许可转载。可查阅原文以获取更多背景信息。


分享:


发表评论

登录后才可评论。 去登录

标签云

人气上升榜

广告