俄罗斯成网络攻击重点目标:信息安全如何演变为宏观经济因素 | Аргумент Медиа本文由Русский自动翻译,由人工智能生成,可能包含不准确之处。
阅读原文 →
AI 摘要
俄罗斯已成为网络犯罪分子的主要目标之一:该国占全球成功网络攻击的14%,而其在全球经济中的份额仅为3%。网络安全已从技术问题转变为宏观经济因素,影响着企业、基础设施的稳定性和社会稳定。专家呼吁将信息安全投资视为混合战争条件下企业生存的必要条件,而非成本支出。
"这是混合战争的前线"
2025年,全球网络犯罪造成的总损失估计达到 10.5万亿美元 ,是2015年的三倍多。而俄罗斯是主要受害者之一。据Positive Technologies评估,从2024年7月1日至2025年9月26日期间,全球成功实施的网络攻击中有14%针对俄罗斯。对于一个在全球经济中占比约3%的国家而言,如此规模的攻击是地缘政治对抗的结果,这种对抗正通过IT领域影响经济领域。
这已不再是"抽象的信息安全"问题,而是直接影响经济活动、企业成本、基础设施稳定性、就业和社会稳定的因素。国家杜马议员 Марина Ким也持同样看法:
"如今这是一条完整的混合战争前线,其目的不仅仅是窃取数据,而是制造混乱、破坏社会稳定。"
2025年的网络攻击是什么
在普通人的认知中,网络攻击就是"黑客入侵了网站"。但实际上,其范围要广泛得多:
- APT攻击(高级持续性威胁)——长期潜伏在基础设施中进行间谍活动或破坏。据RED Security SOC数据显示,2025年俄罗斯此类攻击数量增长了20-22%。这类入侵的后果已经显现:今年夏天,黑客攻击导致俄罗斯航空公司大规模系统故障,表明一次隐蔽攻击就能瘫痪关键行业。
- 勒索软件攻击——加密数据和基础设施后索要赎金。F6数字取证实验室记录显示,2025年针对俄罗斯企业的此类攻击超过450起,赎金金额从400万卢布到4000万卢布不等。今年7月,Винлаб连锁店遭遇此类攻击,导致全俄数千家门店关闭,门店停业造成的直接损失估计达15亿卢布。
- 黑客行动主义——打着政治口号、旨在造成声誉损害的攻击。2025年夏天发生了一系列网络攻击,交通、贸易和工业等行业网站上出现了反对特别军事行动的标语。
- 经济利益驱动的攻击——窃取资金并将基础设施访问权限变现。
现代网络攻击越来越少是"一次性入侵",而更多是多步骤操作:渗透、立足、侦察、加密、勒索,同时在暗网市场上出售访问权限和窃取的数据。
俄罗斯成为主要攻击目标之一
据「Solar」公司网络威胁研究中心数据显示 Solar,仅在2025年前十个月,网络空间就发现了18个稳定的黑客组织,其中7个为新出现的组织,数量至少是一年前的两倍。
2025年专业黑客组织发起的攻击中,约61%为间谍活动(同比增长7个百分点);以经济利益为动机的攻击占17%(下降3个百分点);伴随高调政治声明的黑客行动主义攻击占11%(下降11个百分点)。这意味着网络犯罪分子正从高调行动转向隐蔽但系统性的间谍活动,并为基础设施攻击做准备。
从行业分布来看,最常成为攻击目标的是:
"我认为有三大重点领域:能源、交通和金融部门。对这些领域的打击会产生即时的社会影响——从大范围停电到交通枢纽瘫痪。这正是我们地缘政治对手所追求的恐慌连锁效应," 玛丽娜·金强调指出。
例如, 夏季针对俄罗斯航空公司的网络攻击就是一个典型案例,这次攻击直接"降落"在了航班显示屏上。据行业专家估计,在高峰日当天取消了多达42%的航班:IT系统故障瞬间转化为机队实际停运、物流中断、公司及其合作伙伴的经济损失。
对于大型航空公司而言,这已不仅仅是"网络风险"问题,而是关乎收入下降、监管罚款、成本上升以及随之而来的机票价格上涨。从更广泛的层面来看,这是对商业活动和旅游业的打击。
攻击者"工具库"的演变
Solar 4RAYS监测到RAT恶意软件(远程访问木马)——一种对受害者基础设施进行远程隐蔽控制的工具——的使用急剧增长。2025年第二季度,此类恶意软件在俄罗斯企业的所有感染事件中占比已达24%,而2025年第一季度这一比例为18%。
原因很简单:窃密软件(数据窃取程序)只能窃取单个登录凭证和文件,而远程访问木马则让攻击者获得IT系统的完全控制权:
- 能够在网络中隐蔽移动,
- 提升访问权限,
- 接入第三方工具,
- 在暗网市场出售"现成访问权限"。
黑客不再为每个目标费力开发独特病毒。如今的攻击市场已形成流水线模式:针对"普通"企业使用经过轻微调整的批量工具,而独特且昂贵的恶意软件只保留给真正大型且防护严密的目标。正如Solar所解释的,定制软件现在只在需要"精细操作"和人工控制的场合精准使用。
网络风险经济学:从三重损失到"企业重启"
2025年,网络攻击不再仅是技术威胁,而是成为对企业构成直接经济压力的因素。根据安联风险晴雨表2025(Allianz Risk Barometer 2025)数据,网络安全事件连续第四年位居全球商业风险首位,超过供应链中断和宏观经济不稳定。在俄罗斯市场,损失结构越来越多地围绕勒索软件攻击形成。正是这类攻击成为企业成本最高、破坏性最强的威胁场景。
根据Verizon的数据,2025年全球37%的网络安全事件与勒索软件有关。这解释了为什么这类攻击在经济损失方面居于首位。独立信息安全专家 Денис Макрушин 强调了这一问题的系统性特征:
"犯罪分子同时加密数据、窃取数据并威胁公开。企业业务停摆,耗费资源进行恢复,失去客户和合作伙伴的信任。即使企业支付了赎金,也无法保证数据能完全恢复,更不能保证此类事件不会再次发生。"
另一个经济风险是停机时间的长短。根据Ponemon Institute的数据,2025年全球关键系统每停机一小时,企业平均损失34.7万美元。俄罗斯的案例证实了这些评估:虽然直接损失低于西方国家,但由于储备较少,对营收的相对影响反而更大。独立专家 Владимир Любицкий 解释道:
"勒索软件会摧毁数据和IT基础设施。企业往往被迫从零开始重建一切。对于一家百人规模的公司来说,两周的恢复工作可能要花费数千万卢布。"
因此,俄罗斯企业付出了三重代价:业务中断、系统恢复以及市场份额流失。
过去两年的国际趋势是勒索软件即服务(RaaS)模式的发展,网络犯罪分子组成团伙,将加密工具作为服务出售。2025年上半年发现了96个独特的犯罪团伙,比2024年同期增长41.18%,这加剧了对中小企业的压力。这一点至关重要,因为对于中小企业而言,许多RaaS团伙要求的4000万卢布或更高的赎金,可能意味着业务实际停摆。
然而,即使有资金,企业试图支付赎金往往也无法解密数据,并且经常在一到两个季度后遭遇重复攻击。事件发生后在未经全面检查的情况下保留部分基础设施,是重蹈覆辙的直接途径。
当漏洞不在人而在系统:为何俄罗斯企业在攻击开始前就已败北
2024-2025年的网络攻击表明:大多数企业的问题不在于"黑客变得更强",而在于内部安全组织跟不上威胁的步伐。也就是说,问题不在员工,而在于缺乏正确的风险管理架构。这一趋势也反映在恢复速度上。IBM X-Force的研究显示,全球重大事件后的平均恢复时间为22天,而在俄罗斯,由于缺乏完善的恢复计划,恢复时间往往更长。专家们指出,正是这一结构性缺陷是关键所在。
安东·博奇卡列夫,3side/4sec创始人强调,大多数安全事件的根源并非个别专业人员的能力不足,而是缺乏完善的行动体系。他表示,风险管理中的混乱和认知不清导致许多企业甚至无法判断遭受攻击的时刻,"能在48小时内恢复的企业屈指可数——只有那些提前建立了流程并定期开展演练的企业才能做到"。
这一评估也得到了国际数据的印证:分析师数据显示,拥有成熟应急响应计划的企业可将损失减少37%至42%。
叶戈尔·博戈莫洛夫,白帽黑客机构Singleton Security首席执行官兼CyberED教育中心负责人,对形势的评估更为严峻。他指出,大多数俄罗斯企业既没有完整的恢复方案,也没有明确的应急响应规程。他表示,俄罗斯企业在遭受严重攻击后的实际恢复时间从一周到一个月不等,主要漏洞集中在外围系统:邮件、CRM、应用程序和远程访问系统。这些区域往往防护薄弱,正是因为它们缺乏安全支持基础设施。
正如丹尼斯·马克鲁申所指出的,近年来俄罗斯已经出现了现代化的威胁检测工具、企业安全运营中心(SOC)和监控系统。然而,如果没有访问权限管理流程、承包商管理、人员培训和事件处理规范,即使是最好的技术也无法发挥作用。他明确表示,"能在48小时内恢复的企业,只有那些提前投资于备份和恢复演练的企业",而这类企业目前仍是少数。
2025年最危险的趋势之一是通过承包商发起的攻击激增。Solar公司观察到一个系统性增长现象:犯罪分子不再直接攻击防护严密的大企业,而是转向其防护较弱的合作伙伴。这也解释了为何IT公司在受害者中的占比上升至16%,远高于两年前的水平。
许多大型企业错误地将精力集中在无效指标上——比如"对抗暴力破解"(一套旨在阻止或至少延缓黑客通过连续尝试数千种密码组合进行破解的措施),以及展示数百起事件的华丽仪表板。这营造出一种控制的假象。与此同时,攻击者越来越多地故意制造噪音攻击,以掩盖真实行动。我们的独立专家强调:与其"追踪每一个可疑登录",不如控制Active Directory的几个关键入侵点,这样做效率要高得多。
在中小企业市场,情况因两种极端思维而恶化。第一种是认为"如果他们想攻击,就一定能破解"。第二种是"我们太小了,不值得被关注"。两者都很危险。如今大多数攻击都是自动化的,根据Positive Technologies的数据,2025年上半年36%的攻击都属于"随机目标"原则——攻击者只是在互联网上扫描存在漏洞的服务。
- "我们不会引起任何人的兴趣"
如今大多数攻击都是自动化的。机器人只是在互联网上扫描寻找存在漏洞的资源,只要企业拥有任何IT基础设施,就已经处于风险区域。 - "我们只要部署一个'魔盒'就能解决所有问题"
任何防护手段都只是工具。如果没有成熟的流程配套,它带来的问题可能比好处还多。 - "大不了我们支付赎金"
即使支付了赎金,数据仍可能部分无法恢复,而攻击者还可能卷土重来进行新一轮勒索。此外,支付赎金既无法消除法律后果,也无法挽回声誉损失。
"完全预防所有攻击是不可能的。网络韧性的理念更加面向业务:防范不可接受的事件并做好恢复准备——这才是现代有效的网络安全,"安东·博奇卡廖夫表示。
政府和企业应该怎么做
国家杜马议员玛丽娜·金建议,不应将网络安全视为IT预算中的一个条目,而应将其视为主权的组成部分:
"过去,企业会计算部署杀毒软件的投资回报率。如今问题已经变了:要么你投资信息安全,要么明天你就不复存在。信息安全不是'恐惧税',而是在俄罗斯司法管辖区内维持业务运营的许可证。"
她认为,如果没有系统性的激励措施和问责机制,局面就无法扭转:
- 个人层面。 需要在高管层面建立"数字卫生"文化。董事必须对数据泄露承担个人责任,其严重程度应与财务欺诈的责任相当。当管理者意识到网络安全事件不仅威胁数据库,还会危及个人自由和声誉时,将信息安全视为"成本支出"的态度就会立即消失。
- 税收激励。 那些加速用俄罗斯安全解决方案替代敌对软件的企业,应该获得实质性的税收优惠。需要用真金白银奖励那些增强国家数字主权的企业。
- 网络保险。 需要建立国家级的网络风险保险模式,但要设置严格的准入门槛:如果你的防护形同虚设,保险就不应生效。这应该是为那些已经符合国家安全标准的企业准备的工具。
- 政府采购成为市场驱动力。 国家应当成为信息安全领域最先进解决方案的主要采购方,率先在自身系统中进行试用,然后再将其作为"黄金标准"推广至企业界。
当前对网络安全的投资,就是对国家主权的投资。在这个问题上不能有任何妥协。当普通民众还在安稳生活、对每天发生的大量攻击毫无察觉时,俄罗斯已经连续数月位居全球网络攻击排行榜前列。现在的问题只在于,谁能更快适应——是我们,还是那些对我们发起攻击的人。