2024年全球勒索软件受害者约1600人,2025年这个数字变成了7831。不是技术升级,是门槛崩塌——现在连脚本小子都能调用"AI武器库"发起攻击。

389%增幅背后:犯罪工具的"傻瓜化"革命

打开网易新闻 查看精彩图片

Fortinet最新发布的《2026全球威胁态势报告》用一组数据撕开了安全行业的幻觉。攻击者数量没有暴增,但攻击效率发生了质变。

暗网市场正在公开兜售即插即用的犯罪工具:WormGPT、FraudGPT、BruteForceAI。这些工具的名字直白得近乎嘲讽——它们存在的意义就是把" sophisticated attack(复杂攻击)"变成点击即用的服务。

过去需要高级黑客组织数月筹备的攻击链条,现在被压缩成标准化产品。低级别威胁行为者只需付费订阅,就能获得曾经专属顶级黑客的能力。这不是技术民主化,是犯罪能力的批发零售。

报告中的时间线触目惊心:从漏洞公开到被主动利用,React2Shell案例只用了"数小时"。FortiGuard Labs追踪的"利用时间窗口"(TTE)从平均4.76天骤降至24-48小时。AI加速的不仅是攻击速度,是整条犯罪产业链的运转效率。

制造业为何成了"重灾区":数据密度决定攻击优先级

行业分布数据揭示了攻击者的理性计算。制造业以1284名确认受害者高居榜首,商业服务824、零售682紧随其后。

这不是随机选择。制造企业的OT(运营技术)网络与IT系统交织,停机成本按分钟计算;商业服务掌握大量客户数据;零售业的支付链条直接通向资金。攻击者在用ROI(投资回报率)思维筛选目标——敏感数据密度越高、关键运营越不可替代,勒索赎金的谈判筹码就越重。

地域分布同样遵循经济逻辑。美国3381名受害者,加拿大374,德国291。数字背后是高价值目标的地理集中,而非攻击能力的区域偏好。

凭证窃取器的暗网统治:67%的数据交易变了性质

FortiRecon情报揭示了一个被忽视的结构性转变。暗网数据库活动中,"窃取器日志"(stealer logs)占比飙升至67.12%,远超"组合列表"(combolists,16.47%)和"泄露凭证"(5.96%)。

三者的区别决定了攻击的精准度。泄露凭证是静态的、可能过期的账号密码;组合列表是批量生成的猜测组合;而窃取器日志是恶意软件从真实用户设备中实时提取的完整数据包——浏览器保存的密码、Cookie、自动填充的表单、甚至会话令牌。

攻击者正在抛弃"撞库"式的概率游戏,转向"开箱即用"的身份接管。一条窃取器日志往往包含多个关联账户的完整访问凭证,攻击者无需破解,只需导入即可横向移动。

犯罪产业链的"专业化分工":从随机攻击到端到端运营

FortiGuard Labs基于MITRE ATT&CK框架的全阶段遥测数据,描绘出一幅令人不安的图景:网络犯罪正在企业化。

攻击者不再孤军奋战。接入经纪人(access brokers)负责突破边界,僵尸网络运营商提供基础设施,影子代理按需出售服务。从初始接入到完全控制的时间被压缩,因为每个环节都有专业供应商承接。

这种分工带来的效率提升,与AI工具的自动化能力形成叠加效应。报告用"结构化、端到端的犯罪运营"定义这一转变——随机性降低,可预测性上升,规模复制成为可能。

防御端的困境:当攻击速度跑赢响应周期

24-48小时的TTE窗口意味着什么?传统漏洞管理流程的崩溃。

企业安全团队的典型响应周期:漏洞公告→风险评估→测试补丁→分批部署→验证生效。在AI驱动的攻击面前,这个流程的每个环节都在被压缩。React2Shell案例中的"数小时内"开始利用,留给防御者的反应时间以小时计,而非天。

更隐蔽的威胁在于攻击的"针对性"提升。低技能攻击者借助AI工具,能够执行过去需要人工分析的目标侦察和漏洞匹配。攻击面没有扩大,但攻击精度显著提高——这意味着防御者面临的"高置信度威胁"比例上升,误报过滤的成本同步增加。

数据收束:三个数字重新定义风险基准

7831名年度受害者,389%同比增幅,67.12%的窃取器日志占比——这三个数字构成了2025年勒索软件威胁的新坐标系。

攻击者数量未公开,但攻击能力曲线已经陡峭化。当犯罪工具的获取成本趋近于零,防御成本的计算方式必须改变:不再是"抵御专业黑客",而是"承受持续自动化攻击的韧性"。

制造业、商业服务、零售的受害分布提示了风险定价的错位——这些行业的安全投入 historically 低于金融和科技,但数据密度和运营关键性使其成为攻击者的最优解。地域集中度则暴露了全球化防御网络的局部失效。

最严峻的指标或许是TTE的24-48小时窗口。它标志着攻击者与防御者的"时间竞争"进入新阶段:AI不仅加速了攻击执行,更压缩了从漏洞曝光到大规模利用的转化周期。补丁管理的"黄金时间"概念正在被重新定义,而大多数企业的安全运营中心(SOC)尚未完成相应的流程重构。

Fortinet报告的价值不在于披露新威胁类型,而在于量化了一个被回避的事实:犯罪工具的AI化已经完成从"概念验证"到"规模部署"的跨越。7831不是峰值,是新常态的起点。