安全公司 Arctic Wolf 周二发布的报告显示，过去一年中，“纯数据勒索”（data-only extortion）攻击数量增长了 11 倍。这一趋势表明，勒索软件团伙正利用企业对声誉受损的担忧而勒索更多钱。

在 2024 年 11 月至 2025 年 11 月期间，Arctic Wolf 响应的事件中有 22% ：攻击者威胁公开被窃取的数据，而未实施加密。这一比例较前一报告的 2% 呈现大幅上升。同时报告还梳理了攻击者最常见的入侵技术路径，并就企业最易受攻击的系统类型发出警示。

根据 Arctic Wolf 的分析，纯数据勒索攻击激增，这一趋势也已被其他安全厂商观察到，反映出攻击者动机的变化。公司指出：“目前看来，一些威胁行为者已经开始完全放弃加密环节，转而专注于数据外泄与勒索，以期获得更高的净收益。”

在报告期内，勒索软件相关事件占 Arctic Wolf 事件响应总量的 44%。制造业是受影响最严重的行业，其次是律师事务所、教育机构、金融机构和医疗组织。

Arctic Wolf 指出，勒索软件团伙越来越多地采用“联盟制”（affiliate model）模式，以提高收入、降低成本，并“吸引与留住更广泛的网络犯罪分子”。这一模式催生出一个“更加竞争化且高度互联的生态系统”，攻击者在不同团伙之间自由流动，单一团伙品牌的重要性正在下降。

不过，报告显示，执法机构的打击行动已显著削弱了曾经活跃的勒索组织，例如 LockBit、ALPHV/BlackCat 和 BlackSuit。

在勒索软件之外，攻击者在商业电子邮件欺诈（BEC）方面稳定增长。BEC 占 Arctic Wolf 案例总量的 26%，主要针对金融与法律机构。报告称，全年 BEC 事件呈现“相对稳定的流量”，5 月出现下降，而 6 月与 7 月明显上升。研究人员指出：“这些波动表明，威胁行为者会有策略地选择攻击时机，以契合企业财务周期、全球与文化事件，或交易量高峰期（如假期）——此时监督机制可能相对薄弱。”

在 BEC 事件中，电子邮件钓鱼仍是最原始的攻击方式，占 Arctic Wolf 调查案例的 85%。这些案例大多涉及新的凭证窃取，但约十分之一的案件中，攻击者滥用了此前已被攻破的凭证。

在 BEC 以外的案件中，攻击者明显偏好针对远程访问工具发起攻击，包括远程桌面协议（RDP）、远程监控与管理（RMM）软件以及远程桌面管理工具/远程接入工具/远程桌面软件。Arctic Wolf 表示，在非 BEC 案例中，约三分之二涉及远程访问被攻破。这一比例较三年前的 24% 持续上升。

在年度报告期内，仅有 11% 的事件涉及对已知漏洞的利用，而前一年这一比例为 29%。

Arctic Wolf 研究人员指出：“无论是通过大规模的凭证重复使用，还是潜在破坏性极强的漏洞利用，威胁行为者都展现出高度自动化与成熟的作战能力。在某些情况下，他们在获得访问权限后的数分钟内即可实现对整个域的完全控制。”