我們將集中關(guān)注三個(gè)將影響到 2025 年惡意軟件使用的領(lǐng)域：犯罪利用（又名勒索軟件）；人工智能對(duì)惡意軟件使用的影響；以及到 2025 年地緣政治的影響。

惡意軟件發(fā)展方向：2025 年的動(dòng)機(jī)和目的

Palo Alto Networks 的 Cyberpedia 將惡意軟件描述為“任何故意設(shè)計(jì)用于損害、利用或以其他方式危害設(shè)備、網(wǎng)絡(luò)或數(shù)據(jù)的軟件。網(wǎng)絡(luò)犯罪分子使用惡意軟件竊取敏感信息、破壞運(yùn)營、獲取未經(jīng)授權(quán)的訪問權(quán)限或向個(gè)人或組織索要贖金。”

我們將軟件定義為由計(jì)算機(jī)系統(tǒng)處理的指令。這不包括社會(huì)工程學(xué)，例如網(wǎng)絡(luò)釣魚電子郵件，這些是人類大腦處理的指令。社會(huì)工程學(xué)在本系列的另一篇 Cyber Insights 文章中進(jìn)行了討論。

惡意軟件是攻擊者用來獲取經(jīng)濟(jì)利益、破壞系統(tǒng)、進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)和竊取 IP 的網(wǎng)絡(luò)工具。攻擊者可能是普通罪犯、精英國家黑客，也可能是兩者兼而有之。然而，攻擊者和工具都會(huì)受到不斷變化的網(wǎng)絡(luò)生態(tài)圈的影響。

我們將集中關(guān)注三個(gè)將影響到 2025 年惡意軟件使用的領(lǐng)域：犯罪利用（又名勒索軟件）；人工智能對(duì)惡意軟件使用的影響；以及到 2025 年地緣政治的影響。

勒索軟件

勒索軟件長期以來一直是流行的惡意軟件。 

2025年這種情況還會(huì)繼續(xù)嗎？ 

無疑。 

這個(gè)術(shù)語是為了定義一種新的網(wǎng)絡(luò)犯罪敲詐勒索形式而創(chuàng)造的，這種勒索勒索包括加密系統(tǒng)文件并要求支付解密密鑰的費(fèi)用。關(guān)鍵詞是“敲詐勒索”——加密只是敲詐勒索的一種手段。還有其他手段——例如實(shí)際竊取敏感或機(jī)密專有數(shù)據(jù)并要求支付費(fèi)用以安全歸還；或者添加 DDoS 作為額外的敲詐勒索手段或偽裝網(wǎng)絡(luò)操作、數(shù)據(jù)提取和犯罪分子離開的方法。 

勒索贖金的具體形式將取決于犯罪分子最有效的方式——目前似乎沒有必要改變現(xiàn)狀。從犯罪分子的角度來看，這種方法并沒有問題，所以沒有必要去修改它。

但這并不意味著 2025 年不會(huì)有任何變化?！熬W(wǎng)絡(luò)安全就像是一場(chǎng)貓捉老鼠的游戲，”Systal Technology Solutions 的數(shù)字取證和 IR 顧問 Calum Baird 表示，“網(wǎng)絡(luò)威脅者開發(fā)新的策略和技術(shù)來實(shí)現(xiàn)他們的目標(biāo)，網(wǎng)絡(luò)安全專業(yè)人員開發(fā)技能和技術(shù)來預(yù)防、檢測(cè)、遏制和應(yīng)對(duì)威脅?？紤]到這一點(diǎn)，我們可以預(yù)期勒索軟件（和其他網(wǎng)絡(luò)威脅）將在 2025 年發(fā)生變化。”

一旦防御者能夠熟練地阻止勒索軟件的成功，勒索軟件就會(huì)適應(yīng)。

與此同時(shí)，勒索軟件的大部分變化很可能是對(duì)已經(jīng)成功的攻擊方法的改進(jìn)。例如，大量受害者數(shù)據(jù)的泄露需要時(shí)間，并且可能會(huì)讓受害者暴露攻擊行為。Fortra 威脅研究高級(jí)研究員 John Wilson 表示：“我預(yù)測(cè)勒索軟件將發(fā)展到包含一種算法，甚至可能是人工智能算法，以識(shí)別和泄露系統(tǒng)中發(fā)現(xiàn)的最敏感數(shù)據(jù)?！薄巴ㄟ^優(yōu)先考慮要泄露的數(shù)據(jù)，攻擊者更有可能獲得可獲利的黑材料，而不會(huì)觸發(fā)任何基于數(shù)量的警報(bào)?！?

然而，“只要使用勒索這個(gè)詞，從定義上來說，它就是勒索軟件，”BlackFog 創(chuàng)始人兼首席執(zhí)行官達(dá)倫·威廉姆斯 (Darren Williams) 解釋道?！八褂玫姆椒ú⒉荒苷嬲龥Q定其分類?！?nbsp;

勒索攻擊仍在增加。IEEE 高級(jí)會(huì)員、阿爾斯特大學(xué)網(wǎng)絡(luò)安全教授 Kevin Curran 表示：“醫(yī)療保健和制造業(yè)等關(guān)鍵行業(yè)可能仍是主要目標(biāo)，這些行業(yè)的攻擊數(shù)量急劇增加。勒索軟件即服務(wù)可能會(huì)擴(kuò)大，讓技術(shù)水平較低的攻擊者更容易發(fā)起復(fù)雜的攻擊?！?

我們籠統(tǒng)地歸類為勒索軟件的威脅和惡意軟件將在 2025 年繼續(xù)增長。

但是——網(wǎng)絡(luò)預(yù)測(cè)中總是有一個(gè)“但是”——我們所說的勒索軟件與我們所說的“擦除器”相差無幾。無法檢索的加密文件實(shí)際上被銷毀（或擦除）?！按蠖鄶?shù)當(dāng)代勒索軟件構(gòu)建器（由眾多參與者和操作共享）都包含覆蓋（即擦除）數(shù)據(jù)的參數(shù)，而不僅僅是加密數(shù)據(jù)。這種能力多年來一直只是一個(gè)命令行選項(xiàng)，”Sentinel Labs 高級(jí)威脅研究員 Jim Walter 警告說。

“我們有理由期待參與者更積極地利用這種能力，而不是將擦除器保留用于破壞而非經(jīng)濟(jì)利益的場(chǎng)景。擦除器是很好的手段，但并不總是實(shí)現(xiàn)其目的的最佳后勤手段。同樣，大多數(shù)現(xiàn)代勒索軟件（以及許多商品 RAT）已經(jīng)可以擦除數(shù)據(jù)，但這種程度的破壞很少是攻擊性網(wǎng)絡(luò)行動(dòng)的真正目標(biāo)?！比欢诘鼐壵尉o張局勢(shì)加?。ㄉ院笥懻摚┖蛿硨?duì)民族國家活動(dòng)增加的時(shí)代，這一點(diǎn)值得注意。

2025 年的人工智能與惡意軟件

2025 年，人工智能（包括 LLM 和更受約束的 ML 模型）的使用將滲透到網(wǎng)絡(luò)，并將影響網(wǎng)絡(luò)安全的幾乎每個(gè)方面。人工智能的道德和倫理無關(guān)緊要。它存在并且不會(huì)消失——我們只需要最大限度地發(fā)揮它的好處并盡量減少它的危險(xiǎn)。自動(dòng)化惡意軟件的生成和大規(guī)模使用是危險(xiǎn)之一；更快速地檢測(cè)和緩解入侵是好處之一。

Palo Alto Networks Unit 42 首席技術(shù)官兼工程副總裁 Michael Sikorski 毫不懷疑，惡意攻擊者將使用 AI 大規(guī)模自動(dòng)發(fā)起攻擊?！邦A(yù)計(jì)到 2025 年，網(wǎng)絡(luò)犯罪分子將進(jìn)一步利用 gen-AI 來加速和簡(jiǎn)化攻擊生命周期的每個(gè)階段——從偵察到泄露。我們預(yù)計(jì)會(huì)看到更快、更先進(jìn)的攻擊，例如 AI 驅(qū)動(dòng)的勒索軟件、自動(dòng)化社交工程和超個(gè)性化網(wǎng)絡(luò)釣魚活動(dòng)，”他說。

“Gen-AI 預(yù)計(jì)將大幅縮短攻擊時(shí)間，事件響應(yīng)數(shù)據(jù)表明，泄露數(shù)據(jù)的平均時(shí)間可能降至僅 25 分鐘——比 2021 年快 100 多倍。它還將使攻擊者能夠快速穿越網(wǎng)絡(luò)，自動(dòng)化幫助他們保持訪問權(quán)限并傳播到其他易受攻擊的系統(tǒng)的過程。”

這還不是人工智能生成的惡意軟件，而主要是人工智能協(xié)助使用人造惡意軟件攻擊。Splunk SURGe 全球安全策略師 Mick Baccio 表示：“沒有證據(jù)表明網(wǎng)絡(luò)犯罪分子正在利用人工智能開發(fā)惡意軟件。”相反，“我們已經(jīng)看到攻擊者在攻擊鏈的其他階段利用人工智能系統(tǒng)，例如偵察和網(wǎng)絡(luò)釣魚來獲得對(duì)受害者網(wǎng)絡(luò)的初步訪問權(quán)?！蹦壳埃粽咧饕谔剿魅斯ぶ悄艿淖詣?dòng)化潛力，以擴(kuò)大現(xiàn)有的攻擊方法。

盡管如此，同樣明顯的是，網(wǎng)絡(luò)犯罪分子也在探索使用人工智能來自動(dòng)化和加速開發(fā)新惡意軟件的過程的潛力。早在 2023 年夏天，Hyas Labs 就宣布“我們已經(jīng)構(gòu)建了一個(gè)簡(jiǎn)單的概念驗(yàn)證 (PoC)，利用大型語言模型來動(dòng)態(tài)合成多態(tài)鍵盤記錄器功能，在運(yùn)行時(shí)動(dòng)態(tài)修改良性代碼——所有這些都無需任何命令和控制基礎(chǔ)設(shè)施來交付或驗(yàn)證惡意鍵盤記錄器功能。鑒于這種惡意軟件帶來的威脅，我們將我們的 PoC 稱為 BlackMamba。”

目前還不完全清楚有多少人工智能被用來構(gòu)建該惡意軟件，或者僅僅用來增強(qiáng)惡意軟件。 

BlackMamba 并非突破性的惡意軟件。盡管如此，它還是預(yù)示了可能發(fā)生的情況，有跡象表明，可能發(fā)生的情況將在 2025 年開始發(fā)生——盡管 2025 年可能更像是人工智能生成的惡意軟件的轉(zhuǎn)折點(diǎn)，而非泛濫之年。 

Bambenek Consulting 總裁 John Bambenek 表示：“我們可能會(huì)看到一些由人工智能生成的惡意軟件，但任何使用過人工智能副駕駛的人都知道，它可以做簡(jiǎn)單的事情，但可能只能做 70% 的復(fù)雜事情。惡意軟件作者可能會(huì)用它來增強(qiáng)和加速他們的工作，但可能不會(huì)出現(xiàn)完全由人工智能創(chuàng)建的復(fù)雜惡意軟件。”

貝爾德傾向于同意這一觀點(diǎn)。“我們可能會(huì)看到更多惡意軟件被生成；但是，這種情況發(fā)生的可能性尚不確定?；糜X對(duì) gen-AI 來說仍然是一個(gè)挑戰(zhàn)，這意味著它可以提供虛假數(shù)據(jù)和錯(cuò)誤代碼，而且通常對(duì)其準(zhǔn)確性缺乏信心，”他指出。 

“網(wǎng)絡(luò)威脅者入侵系統(tǒng)的機(jī)會(huì)有限，如果部署無效的人工智能惡意軟件，則會(huì)降低其成功率。此類惡意軟件可以制造噪音并向安全團(tuán)隊(duì)觸發(fā)警報(bào)，但無法實(shí)現(xiàn)其預(yù)期目標(biāo)，從而可能破壞攻擊者的努力。”

然而，在 2024 年 9 月，HP 發(fā)現(xiàn)了一個(gè)電子郵件活動(dòng)，其中包含由 AI 生成的 dropper 傳遞的標(biāo)準(zhǔn)惡意軟件負(fù)載。研究人員認(rèn)為這是由 AI 生成的，因?yàn)榇a中包含了注釋——任何有自尊心的新手人類壞人都不會(huì)留下注釋。但由 AI 生成的是 dropper，而不是主要負(fù)載。盡管如此，這意味著壞人正在嘗試使用生成 AI 來生成惡意軟件；如果是這樣，他們已經(jīng)學(xué)會(huì)了調(diào)整模型以從代碼中排除注釋。他們正在學(xué)習(xí)

監(jiān)控WhiteRabbitNeo等代碼生成 AI 模型的進(jìn)展非常重要，這樣才能評(píng)估（并且實(shí)際上防范）可能在 2025 年出現(xiàn)的新型、規(guī)避性、AI 生成的、以漏洞為重點(diǎn)的惡意軟件的可能性。

與此同時(shí)，Snyk 開發(fā)者和安全關(guān)系主管 Randall Degges 看到了人工智能帶來的不同影響：注入攻擊的回歸?！半S著人工智能編碼工具成為開發(fā)工作流程的支柱，它們帶來了新的安全挑戰(zhàn)，需要謹(jǐn)慎管理。注入攻擊將在 2025 年重新成為頭號(hào)威脅，而人工智能生成的代碼漏洞將助長這種威脅，”他警告道。 

“注入漏洞曾是 OWASP 十大漏洞榜單中的主要關(guān)注點(diǎn)，但由于安全意識(shí)和編碼實(shí)踐的提高，2021 年注入漏洞數(shù)量有所下降。但隨著人工智能工具現(xiàn)在可以處理跨多個(gè)平臺(tái)和框架的代碼生成，注入風(fēng)險(xiǎn)再次成為焦點(diǎn)。人工智能系統(tǒng)處理大量輸入數(shù)據(jù)，通常沒有經(jīng)過嚴(yán)格的驗(yàn)證，為注入攻擊的再次出現(xiàn)創(chuàng)造了完美的條件。”

2025 年地緣政治對(duì)惡意軟件的影響

我們不喜歡談?wù)摰脑掝}和我們不喜歡討論的影響是地緣政治對(duì)敵對(duì)網(wǎng)絡(luò)攻擊的影響。這令人驚訝，因?yàn)槲覀兌际艿搅诉@種影響。 

自從 Mandiant 開始研究與中國軍方有關(guān)的 APT1（又名解放軍 61398 部隊(duì)、Comment Panda、Comment Crew 等）以來，已有 40 多個(gè)組織被冠以“APT”的稱號(hào)。雖然沒有官方規(guī)定，但 APT 稱號(hào)實(shí)際上與國家支持的網(wǎng)絡(luò)組織有關(guān)。

如果一個(gè)民族國家團(tuán)體針對(duì)其本國以外的組織，這怎么能不是由地緣政治驅(qū)動(dòng)的呢？如果一個(gè)民族國家團(tuán)體針對(duì)“西方”國家的組織，而相關(guān)國家傳統(tǒng)上是反西方的，那么我們能否預(yù)計(jì)，每當(dāng)?shù)鼐壵尉o張局勢(shì)加劇時(shí)，由地緣政治驅(qū)動(dòng)的攻擊就會(huì)增加？

這對(duì)于 2025 年來說是一個(gè)合理的問題，因?yàn)榭梢哉f，自 1991 年冷戰(zhàn)結(jié)束以來，全球地緣政治從未像 2025 年初那樣緊張。西方網(wǎng)絡(luò)安全捍衛(wèi)者面臨的問題是，民族國家行為者往往是擁有大量資源的精英網(wǎng)絡(luò)侵略者中的精英。他們不像普通網(wǎng)絡(luò)罪犯那樣需要快速獲得財(cái)務(wù)回報(bào)——他們主要受意識(shí)形態(tài)驅(qū)動(dòng)，可以花時(shí)間深入攻擊，比典型的非國家網(wǎng)絡(luò)罪犯堅(jiān)持更長時(shí)間。

他們的目的比一般的網(wǎng)絡(luò)犯罪分子更“好戰(zhàn)”，無論是竊取知識(shí)產(chǎn)權(quán)以獲得國家經(jīng)濟(jì)優(yōu)勢(shì)，還是潛入關(guān)鍵行業(yè)以獲得破壞和造成經(jīng)濟(jì)和社會(huì)混亂的潛力。這是我們?cè)?2025 年需要考慮的問題——惡化的地緣政治條件是否會(huì)導(dǎo)致民族國家行為者的活動(dòng)增加？如果是這樣，這些活動(dòng)可能會(huì)如何表現(xiàn)？

Logpoint 首席技術(shù)官克里斯蒂安·哈夫 (Christian Have) 認(rèn)為，2025 年不會(huì)出現(xiàn)任何重大升級(jí)——很大程度上，或許是因?yàn)榛旌蠎?zhàn)爭(zhēng)已經(jīng)猖獗，而且人們普遍認(rèn)為，進(jìn)一步升級(jí)可能引發(fā)北約第五條反應(yīng)——這是沒人愿意跨越的紅線。但他承認(rèn)，地緣政治已經(jīng)影響到了網(wǎng)絡(luò)：“隨著歐洲國家開始啟動(dòng)其工業(yè)基地來生產(chǎn)彈藥和武器，我們發(fā)現(xiàn)，作為供應(yīng)商或制造商的中型公司越來越多地成為比以往更復(fù)雜的攻擊目標(biāo)?！?

Darktrace 威脅研究副總裁 Nathaniel Jones 對(duì)此不太確定。他指出，中國政府正在開發(fā)專門針對(duì)嵌入式系統(tǒng)的惡意軟件，以路由器和防火墻為目標(biāo)，創(chuàng)建繞過傳統(tǒng)端點(diǎn)保護(hù)措施的持久后門?！拔覀?cè)?2024 年觀察到的 EDR 殺手惡意軟件只是個(gè)開始。我們預(yù)計(jì) 2025 年會(huì)出現(xiàn)更多由人工智能生成的惡意軟件，但應(yīng)用程序的針對(duì)性會(huì)很強(qiáng)。” 

他補(bǔ)充道：“人工智能的發(fā)展與國家資源的結(jié)合可能會(huì)給防御措施帶來前所未有的挑戰(zhàn)。地緣政治格局將繼續(xù)影響國家和黑客行動(dòng)主義者的目標(biāo)重點(diǎn)?！?

威爾遜持類似觀點(diǎn)?！皩?duì)伊朗、朝鮮和俄羅斯的制裁導(dǎo)致黑客大軍專注于竊取資金，以資助他們的國家野心。2025 年及以后的每場(chǎng)沖突都將包括網(wǎng)絡(luò)空間元素。惡意軟件開發(fā)對(duì)國防的重要性絲毫不亞于武器系統(tǒng)的發(fā)展?！?

然而，Armis 首席技術(shù)官 Nadir Izrael 直言不諱?！懊褡鍑液土髅ヅ上嫡谘杆賹⒕W(wǎng)絡(luò)攻擊納入其軍事武器庫，網(wǎng)絡(luò)行動(dòng)成為地緣政治沖突中的先發(fā)制人打擊選項(xiàng)?！贬槍?duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊可以在不發(fā)射任何實(shí)彈的情況下造成國家混亂。

他繼續(xù)說道，2025 年，“我們預(yù)計(jì)國家支持的網(wǎng)絡(luò)攻擊將不斷升級(jí)，旨在造成廣泛的混亂和心理壓力。隨著政府轉(zhuǎn)向先進(jìn)技術(shù)（包括人工智能驅(qū)動(dòng)的惡意軟件）來智勝目標(biāo)，這些攻擊將變得更加復(fù)雜。”

Skyhigh Security 全球云威脅主管 Rodman Ramezanian 對(duì)此表示贊同?！暗鼐壵我呀?jīng)影響了惡意軟件的開發(fā)和使用，而且?guī)缀蹩梢钥隙?，這種影響將在 2025 年進(jìn)一步加劇。”他以中東為例。

“從中東到東南亞地區(qū)的許多國家將繼續(xù)通過加大對(duì)網(wǎng)絡(luò)間諜活動(dòng)和破壞性行動(dòng)的投資來追求自己的地緣政治目標(biāo)。到 2025 年，很容易看到俄羅斯繼續(xù)專注于與烏克蘭沖突有關(guān)的間諜活動(dòng)并破壞北約結(jié)盟國家的穩(wěn)定，而中國可能會(huì)優(yōu)先考慮秘密訪問關(guān)鍵基礎(chǔ)設(shè)施，尤其是針對(duì)臺(tái)灣和美國的選舉進(jìn)程。如前所述，勒索軟件攻擊和復(fù)雜的勒索方法將繼續(xù)威脅安全實(shí)踐尚未成熟的組織?！?

值得考慮的是中東。這兩個(gè)主要對(duì)手多年來一直活躍在真正的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)中——首先是 Stuxnet，然后是伊朗的報(bào)復(fù)，包括擦除器。到目前為止，這種活動(dòng)主要局限于中東。但仍有可能升級(jí)到涉及三個(gè)主要網(wǎng)絡(luò)國家：美國、俄羅斯和中國。我們已經(jīng)注意到，從勒索軟件到擦除器的轉(zhuǎn)變很簡(jiǎn)單。因此，值得注意的是，俄羅斯一個(gè)主要的勒索軟件組織 Evil Corp 與俄羅斯聯(lián)邦安全局有著密切的家族關(guān)系。

2024 年 10 月，英國國家犯罪局制裁了 16 名與 Evil Corp 有關(guān)的個(gè)人，該公司“曾被認(rèn)為是全球最大的網(wǎng)絡(luò)犯罪威脅”。其中包括 Evil Corp 的負(fù)責(zé)人（Maksim Yakubets，已在美國被起訴）和“Yakubets 的父親 Viktor Yakubets，[和]他的岳父，前 FSB 高級(jí)官員 Eduard Benderskiy”。

鑒于主要網(wǎng)絡(luò)犯罪分子和國家機(jī)構(gòu)之間的流動(dòng)性，尤其是在俄羅斯，網(wǎng)絡(luò)犯罪集團(tuán)總是有可能意外地走得太遠(yuǎn)，并引發(fā)直接和過于激進(jìn)的國家活動(dòng)。

概括

我們從三個(gè)方面探討了惡意軟件及其使用的潛在發(fā)展方向，但這些觀點(diǎn)有些悲觀。網(wǎng)絡(luò)犯罪分子使用勒索軟件（敲詐勒索）的現(xiàn)象將繼續(xù)蔓延，因?yàn)樗匀缓艹晒?。在意識(shí)形態(tài)驅(qū)動(dòng)的黑客行動(dòng)主義者手中，勒索軟件很容易演變成無法追究責(zé)任的政府抹黑者，這些人的目的不是獲取經(jīng)濟(jì)利益，而是破壞秩序——這可能包括來自難以預(yù)測(cè)的朝鮮和伊朗的政府支持的精英。政府只是否認(rèn)參與其中，并將矛頭指向他們無法控制的罪犯。

直接受國家支持的精英團(tuán)體可能會(huì)因?yàn)槿虻鼐壵尉o張局勢(shì)而增加活動(dòng)。如果緊張局勢(shì)加劇，活動(dòng)也會(huì)增加；如果緊張局勢(shì)緩解，我們可以希望活動(dòng)也會(huì)減少。在大多數(shù)情況下，我們不會(huì)知道民族國家活動(dòng)的程度，只是因?yàn)樗麄兛梢赃\(yùn)用的技能、資源和耐心。我們可以肯定這會(huì)發(fā)生，但我們必須希望沒有人扣動(dòng)網(wǎng)絡(luò)扳機(jī)。

在此背景下，人工智能的不斷進(jìn)步使得在數(shù)小時(shí)而不是數(shù)天或數(shù)周的時(shí)間內(nèi)自動(dòng)生成有效的、針對(duì)特定漏洞的新惡意軟件的可能性越來越大。

這些都不一定在 2025 年發(fā)生。但所有這一切都有可能發(fā)生。