勒索应急?别被假专家骗了 | 零零信安

勒索应急?别被假专家骗了 | 零零信安

别再被“正确废话”误导

发布日期2026年7月

编著单位零零信安

目录

第 01 章为什么之前国内被勒索的事件少,2026年以来变多了? 第 02 章为什么“安全专家”不懂勒索事件如何应急? 第 03 章企业现在应该做什么?

多年以来,我国虽然在暗网数据泄露方面稳居全球第二,不过在勒索事件方面一直排在TOP20开外。这是好事,但是这导致了两个问题:

  • 1.国内绝大部分企业只听说过勒索组织和勒索软件,但从未认真了解过其生态和原理,更没真正处理过类似的应急事件。
  • 2.大量网安厂商为了售卖产品,制造假焦虑,以及宣传“使用某某产品/技术,是应对勒索的最佳手段”。

大家都在做一件事情:企业“赌”自己不会被勒索,网安厂商“赌”服务对象不会被勒索。

然而,更让我们感到“窒息”的是,由于国内大量宣传、企业和行业白皮书、技术方案的“污染”,导致我们在询问AI(比如豆包、Deepseek等)如何应对勒索的时候,AI往往会给出一大堆“正确的废话”。

例如:备份、隔离、上报、溯源、MFA、EDR、日志审计、定期演练、邮件安全、威胁检测等等。

发现问题了吗?即使背景不是“勒索”,而是被黑客入侵、中病毒,甚至等保合规建设,以上建议仍然成立。

而大量的企业和安全厂商的服务人员,甚至无法区分勒索与黑客、病毒、蠕虫的区别是什么。

可惜,“快乐的好日子”终将有到头的一天。最近(7月以来),发生了两件事情。

  • 1.2026年7月1日,全球第一个基于AI智能体的勒索攻击被监测到。具体详情参见文章:
    • 《AI驱动下的勒索软件3.0时代即将到来,你准备好了吗?》
    https://00sec.com/daily/R4iBNp8Bp1ppm_bbN_DN
    • 《AI智能体,攻守失衡的催化剂》
    https://00sec.com/daily/6pFrO58Bp1ppm_bbjSQ5
  • 2.最近一周(7月7日~7月14日),根据零零信安勒索监测数据,中国相关受害者数量明显增多,并首次进入我们统计的全球受害国前列,详情见https://00sec.com/daily)。受害者包括(因某些你懂的原因,我们无法公布具体企业名):
    • 某国内头部人工智能自动驾驶公司
    • 某科学文化中心
    • 某3D解决方案企业
    • 某汽车电子解决方案提供商
    • 某VoIP服务商
    • 某太阳能与光伏解决方案能源公司
    • 等等

现在我们来详细拆解一下,究竟发生了什么,我们应该如何应对。

第 01 章为什么之前国内被勒索的事件少,2026年以来变多了?

勒索团伙的终极目的从来不是“搞破坏”或“刷存在感”,而是纯粹求财。他们对企业发起攻击后,往往不是简单加密几台服务器了事,而是先进行数十GB、上百GB甚至TB级的数据窃取。窃取完成后,组织内部会有专门的“内容研判”环节——仔细分析被偷走的文件到底有多值钱:是核心源代码、未公开的专利、客户隐私数据库、财务合同,还是涉及监管合规的敏感材料。根据研判结果,他们再精准设计勒索金额,从几十万到数千万美金不等。

在这个环节里,汉语长期以来一直是一道天然屏障。绝大多数活跃的勒索组织(无论是LockBit、Qilin、Akira、还是其他的各种RaaS加盟体系)核心成员和数据分析人员以俄语、英语为主,对中文文档的理解能力极弱。面对大量中文合同、内部纪要、技术图纸、邮件往来,他们很难快速判断哪些文件真正“值钱”,哪些只是无关紧要的垃圾数据。结果就是:要么放弃深入研判、直接报一个“盲猜价”,要么干脆把中国企业从优先目标名单里剔除。语言理解成本过高,导致投入产出比不划算。

然而,2025年大模型技术真正成熟并被武器化之后,这道屏障彻底塌了。现在的AI可以直接读取、翻译、摘要、分类海量中文非结构化数据,还能结合上下文判断文件的商业价值和合规风险。勒索组织不再需要雇佣会中文的分析师,一个训练过中文语料的智能体就能在几小时内完成过去需要人工数天、甚至数十天才能做完的内容评估。语言不再是门槛,中国企业的数据突然变得“可读、可定价、可勒索”。

更关键的是,现代勒索早已不是单纯的“加密赎金”模式。双重勒索(加密+数据泄露威胁)已成标配,但真正被很多国内从业者忽视的,是隐藏的第三层勒索——合规与监管压力。

企业一旦发生核心数据被窃取(尤其是关基单位、涉及个人信息、重要数据或国家秘密的企业),后续面临的不仅是黑客的敲诈,还有监管和执法单位的“二次收拾”。数据安全法、个人信息保护法、网络安全法、关基保护条例等法律框架下,数据泄露本身就可能触发行政处罚、约谈、整改、甚至刑事责任。对很多企业来说,监管处罚带来的实际损失和声誉打击,往往比直接支付赎金更可怕。勒索组织正是抓住了这一点,把“我们会把数据交给监管或公开曝光,让你面临合规调查”当作额外筹码,形成事实上的三重勒索。

曾经,我国的监管和执法单位对勒索事件的监测、研判、溯源能力相对有限,很多案件要么被企业自行“私了”,要么根本没有进入官方视野。第三层勒索因此难以真正落地,勒索组织也缺少足够的威慑力。但从2025年以来,情况发生了明显变化:大量监管部门、执法机构、行业主管单位已逐步建立了针对勒索攻击的专项监测与研判能力。一旦企业被加密或数据被窃,相关信号更容易被捕捉,后续的合规问责也更可预期。第三层勒索由此从“理论威胁”变成了“现实杠杆”,进一步抬高了勒索组织对中国企业的兴趣。

最后,是攻击成本结构的根本改变。随着AI勒索智能体(AI Agent)逐渐成型,勒索组织下属的加盟商(Affiliate)发起一次完整攻击的门槛被大幅拉低。过去需要经验丰富的入侵手,通过手动完成的侦察、横向移动、数据打包、加密部署等环节,现在很多可以被智能体半自动化甚至全自动化执行。攻击成本下降,直接带来两个结果:

一方面,广撒网的范围急剧扩大。以前因为投入产出比问题而被放弃的中国企业,现在也进入了可攻击名单;另一方面,勒索组织和加盟商内部“内卷”加剧。为了抢业绩、抢分成、证明自己的攻击能力,他们必须不断开拓新战场。中国市场从“性价比不高”变成了“必须拿下的增量池”,间接导致国内受害企业数量在2026年出现明显跃升。

简单说,语言屏障被AI拆除、第三层合规勒索开始生效、攻击成本因智能体而大幅下降——这三重变化叠加,才是2026年以来国内勒索事件大幅攀升的根本原因。并且,这将是不可逆的持续攀高。

第 02 章为什么“安全专家”不懂勒索事件如何应急?

先说最残酷也最基础的事实:由于过去多年国内企业真正遭遇大规模勒索的事件极少,大量网安工程师,甚至是被冠以“安全专家”“应急专家”头衔的人,根本没有真正接触过、更没有独立主导处理过一起完整的勒索事件。他们可能写过应急预案、做过桌面推演、参加过护网或攻防演练,但那些场景与真实勒索攻击之间的差距,就像在游泳池里学游泳和在暴风雨的海里求生一样巨大。

即使极少数企业或厂商人员“碰巧”处理过一两次,也往往因为毫无实战经验、缺乏真正懂行的“引路人”,导致整个处置过程混乱、无效甚至适得其反。常见的表现包括:

  • • 过度关注解密而忽略数据泄露已成事实。
  • • 盲目断网导致业务瘫痪却没能阻断攻击者的后续操作。
  • • 把精力全部放在“找漏洞”上却对攻击路径和持久化手段一无所知。
  • • 在谈判阶段被对方牵着鼻子走……

结果就是,事件结束后企业既没能有效止损,也没能获得可复用的经验,专家自己也只留下“处理过勒索”的虚假履历。

更深一层的原因在于国内网安人才的结构性分布。我国绝大多数安全从业者集中在合规建设、等保测评、护网行动、产品研发、安全运营等方向。这些领域当然重要,但它们与真实勒索攻击所处的暗网商业生态几乎没有交集。即使是少数攻防方向的人才,也大多停留在“渗透测试”和“红蓝对抗演练”层面——目标环境是客户提供的授权范围,攻击手法是已知漏洞和公开工具,成功标准是拿到权限或完成指定任务。这种“演习式攻防”与暗网里以利润为导向、高度分工、持续迭代的真实勒索攻击,根本不是同一回事。

真正的勒索生态是:初始访问经纪人(IAB)负责卖权限,加盟商(Affiliate)负责入侵和部署,核心组织负责提供基础设施、勒索软件、支付通道、谈判支持和分成规则。整个链条高度商业化、专业化,攻击手法随着防御进步不断进化。国内绝大多数安全专家对这套逻辑几乎一无所知,自然也谈不上针对性的应急处置。

最致命的是信息茧房。国内网安行业与全球商业黑客生态之间,长期存在一道厚厚的墙。这导致许多被媒体或厂商包装出来的“安全专家”,在勒索事件上会犯一系列根本性认知错误:

  • • 他们不懂勒索组织与加盟商的生态分工——看到一份勒索软件样本或一套TTPs,就以为代表了整个组织的能力,却不知道这些TTPs往往只是众多加盟商其中之一的个人习惯,核心组织本身可能根本不碰一线入侵。
  • • 他们不懂勒索谈判的真实策略与节奏——不知道什么时候该沉默、什么时候该施压、如何应对对方的验资要求、如何判断对方是否真的掌握核心数据、如何在支付与不支付之间权衡风险。谈判在真实勒索事件中往往比技术处置更关键,但绝大多数国内专家对此完全是空白。
  • • 他们不懂如何获取完整的攻击路径——在真实事件中,攻击者很少会主动留下清晰的日志链条,很多关键信息需要通过谈判施压、分析泄露数据样本、比对暗网聊天记录等方式才能拼凑出来。没有这些能力,所谓的“溯源”往往只是自欺欺人。

更有甚者,部分专家会把APT组织与勒索组织混为一谈,用国家背景攻击的思维去套用犯罪团伙的行为逻辑;会想当然地认为勒索攻击主要依赖0day或高级漏洞,却不知道现实中绝大多数成功入侵靠的是钓鱼、弱口令、已知漏洞利用、供应链投毒、IAB和Stealer买来的现成权限;对IAB和Stealer在整个勒索生态中的核心价值几乎一无所知——而恰恰是它们的活跃程度,直接决定了某个国家或行业被勒索的频率。

当一个“安全专家”连对手是谁、怎么分工、靠什么赚钱、谈判怎么玩都搞不清楚时,他给出的任何“应急建议”,本质上都只是把通用安全最佳实践换了个标题而已。这就是为什么我们在询问AI或咨询很多“专家”时,得到的永远是备份、隔离、MFA、EDR那一套正确的废话——因为他们自己也从未真正进入过勒索应急的真实战场。

第 03 章企业现在应该做什么?

首先必须正视一个基本事实:所有通式安全策略——无论是等保合规、ISO 27001体系建设,还是EDR、蜜罐、备份、WAF、邮件安全、威胁检测、日志审计、定期演练等——对勒索防御都是有价值的。它们能显著抬高攻击门槛、缩短发现时间、降低部分损失。完全否定这些基础能力是愚蠢的,也是不负责任的。

但问题恰恰在于,这些通式手段只能解决“通用安全”问题,却无法有效应对勒索攻击的独特逻辑。勒索不是普通的入侵或病毒事件,它是一套高度商业化、分工明确、以利润为导向的暗网生态行为。企业如果只停留在通式防御层面,一旦真正遭遇勒索,依然会陷入“专家只会说正确废话、自己束手无策”的困境。

因此,在通式防御之外,企业必须进行针对性安全建设。这包括但不限于:建立针对数据窃取行为的监测与响应机制(而不仅仅是加密后的恢复)、提前梳理核心数据资产并制定差异化保护策略、准备真实可用的勒索应急与谈判预案、打通与专业暗网情报的对接通道等。针对性建设的核心,是把“勒索”当作一种独立的威胁类型来对待,而不是继续用“被黑客攻击了”的通用框架去套。

更关键、也更容易立刻行动的一步,是让企业安全人员真正了解勒索生态。这在过去可能很难,但现在已经变成一个非常容易解决的问题——只需要阅读一本叫《暗网启示录》的小说即可(参见:https://00sec.com/daily/Da-Bap8Bp1ppm_bbtWq_)。这本书以小说形式完整拆解了勒索组织、加盟商、IAB、谈判、支付、内部分成等真实生态逻辑,获取方式可以询问任意AI。读完之后,很多原先模糊的概念会瞬间清晰,也更能分辨哪些“专家建议”是真正有用的,哪些只是在制造焦虑。

如果时间与精力允许,强烈建议持续关注“每日勒索报告”(https://00sec.com/daily)。这里不仅有最新的全球与国内勒索动态、行业和国家受害趋势,还有典型目标画像与活跃组织分析。最重要的是,它永久免费。对安全团队来说,这是目前成本最低、信息密度最高的勒索情报入口之一。

在专业服务层面,企业应选择技术和经验真正成熟的“暗网情报”服务商,重点考察其是否能提供专业的暗网监测、勒索专项监测、攻击情报与IAB监测、Stealer/ATO情报,以及真实勒索事件的应对支持。普通的威胁情报或漏洞情报解决不了勒索问题,只有深入暗网生态、理解商业黑客运作逻辑的服务,才能在事件发生前提供预警,在事件发生后提供可落地的处置建议。

最后,已采购我司服务的客户,请重点关注“暗网.XXX”SAAS平台新上线的“暗网威胁狩猎”模块。该模块目前处于测试运营与持续更新阶段,专门针对勒索相关的组织信息、暗网威胁行为者画像、暗网威胁行为者归因、勒索TTPs、勒索行为生态与谈判样本、攻击基础设施等进行狩猎与关联分析,是我们针对当前勒索形势变化做出的直接响应。

勒索应急的本质,从来不是“买更多设备”或“写更厚的预案”,而是先真正看清对手是谁、生态全貌,再进行“有的放矢”。只有先跨越认知鸿沟,后续的技术建设与应急动作才不会再次沦为正确的废话。