2025年英国政府一份报告摆出了刺眼数字:43%的企业、30%的慈善机构在过去一年遭遇网络攻击,涨幅远超往年。但更反常的是攻击者的胃口——他们开始把儿童照片挂上暗网, ransom(勒索赎金)只是附赠品,真正的战利品是社交媒体上的转发量。
这种转变让安全团队措手不及。Rubrik企业CTO Chris Krebs打了个比方:以前防的是抢银行的,现在防的是直播砸店的。
从"要钱"到"要脸":攻击者的动机迁移
Scattered Spider团伙的操作很说明问题。他们入侵 nursery(托儿所)运营商Kido后,把3-5岁儿童的日常照片、医疗记录、家长联系方式打包上传暗网,标价赎金的同时留了句"欢迎截图发推"。
这不是个案。 Krebs在Rubrik年度威胁复盘里提到,2024下半年以来,"表演型攻击"占比从12%蹿升到31%。攻击者会在加密数据前故意留下后门,方便受害者"直播"崩溃过程;会在暗网论坛开投票帖,让围观者决定下一个目标行业。
一位化名"Null"的分析师追踪了17个新兴黑客频道,发现成员平均年龄19岁,发帖高频词从"payday(发薪日)"变成了"clout(影响力)"。
翻译成人话:偷钱是为了买跑车,现在偷数据是为了买粉丝。
CISO的盲区:理性模型遭遇非理性敌人
传统安全预算的逻辑是"保护高价值资产"——哪里钱多,哪里堆人。但Kido案里,托儿所的IT预算不到银行的0.3%,攻击者却花了三周做渗透测试,远超"性价比"。
Krebs的原话是:「我们训练CISO用ROI(投资回报率)思维,但对手在用多巴胺思维。」
这种错配体现在响应速度上。Kido从首次告警到数据泄露公开,间隔71小时,而同类金融攻击平均响应窗口是9小时。为什么?因为安全团队按"勒索软件标准流程"走,没料到对方根本不想谈判,只想看舆论爆炸。
更隐蔽的是"混沌制造者"群体。他们不图钱、不图名,攻击动机栏填的是"for the lulz(图一乐)"。2024年12月,某医疗云平台被删库,攻击者在日志里留了一行:"你们的备份策略比我的作业还烂。"
防御重构:当威胁模型变成人格分析
Rubrik给客户的建议听起来像心理咨询:给攻击者"画像"时,要加一栏"社交媒体活跃度"。
具体操作上,他们把威胁情报分成了两条线。一条继续追踪漏洞利用、恶意软件样本;另一条监控Telegram频道、暗网论坛的"热度帖",识别哪些企业正在被"选角"。
有个细节很反直觉。Krebs团队发现,表演型攻击者在前期侦察阶段反而更谨慎——他们会注册多个马甲账号测试企业响应,像网红测算法推荐一样。这意味着传统的"蜜罐"陷阱需要升级,要模拟出"值得被直播"的脆弱感,而不是单纯的防御漏洞。
预算分配也在变。Rubrik 2025年Q1的客户调研显示,"舆情响应"在安全支出中的占比从3%提到11%,包括预置的律师函模板、暗网监控服务、甚至TikTok关键词预警。
暗流:当犯罪变成内容生产
回到Kido案。数据泄露一周后,暗网出现了该事件的"导演剪辑版"——攻击者把入侵过程剪成15分钟视频,配了电子乐,评论区有人出价0.4比特币买"制作教程"。
这指向一个更深层的变化:网络攻击正在内容化。就像极限运动视频有赞助商,某些黑客频道开始接"暗广"——在攻击演示里植入VPN或加密货币钱包的推广链接。
Krebs的警告是,2026年CISO可能要同时对付两种敌人:一种想清空你的账户,一种想清空你的尊严。而后者更难定价,也更难和解。
英国国家网络安全中心(NCSC)在2025年1月更新了事件响应指南,新增了一条:「评估泄露内容的'传播潜力',优先阻断可能被二次创作的材料。」
换句话说,现在防黑客得像防狗仔——不仅要锁门,还得检查窗帘透光角度。
Chris Krebs在复盘结尾提了件事:某客户在被攻击后收到黑客私信,对方没要赎金,只问"你们CEO的LinkedIn能互关吗"。
如果你是CISO,下次做威胁演练时,会把这个场景写进剧本吗?
热门跟贴