百亿级黑色产业——勒索软件商业模式解析

行业洞察 · 深度科普

勒索软件的商业模式(RaaS)

一个价值百亿的黑色产业

它有客服、有分成、有 SLA，唯一的区别是它的产品是恐惧。RaaS（勒索软件即服务）已经把勒索变成了一门高度组织化的生意——2026 年 Q1 收款超 5 亿美元，同比增长 39%。

引子 · 一笔 2200 万美元的"投资回报"

2024 年 2 月，美国最大医疗支付处理商 Change Healthcare 的服务器被悄悄加密。接下来的十天，美国数千家医院、药房、诊所陷入瘫痪——医生开不了处方，药房无法核验保险，患者在走廊排队等待手写处方。

母公司 UnitedHealth Group 最终付出了 2200 万美元的赎金。

即便如此，数据还是被公开了。

这不是一次偶发事件，是一次教科书级别的商业行动。背后的运营组织通过他们搭建的"勒索软件即服务"平台，分走了其中的 15%~30% 作为平台抽成。整个过程有明确分工、谈判流程，甚至有服务协议。

这就是现代勒索软件

一门高度组织化的黑色生意。

01 · RaaS：把勒索软件做成 SaaS

勒索软件的演化史，本质上是一部商业模式的进化史。早期（2010 年代初），勒索软件是"手工作坊"——攻击者自己写代码、自己找目标、自己收钱。技术门槛高，规模天然受限。

转折点出现在 2016 年前后：RaaS（Ransomware-as-a-Service，勒索软件即服务）诞生了。

类比互联网创业来理解：

▸ 勒索软件运营商 = SaaS 平台方（提供加密程序、数据泄露站、支付系统、技术支持）

▸ 附属者（Affiliate） = 销售/渠道（负责找目标、入侵、部署勒索软件）

▸ 分成模式 = 平台抽成 15%~30%，附属者得 70%~85%

这一模式的革命性在于：它把勒索软件的技术壁垒和运营复杂度解耦了。一个不太懂编程但擅长社会工程学的人，只需要在暗网论坛通过"招募"流程，拿到某个 RaaS 平台的访问权，就能立刻开始"创业"。

指标	数据
2026 Q1 收款总额	5.29 亿美元，同比 +39%
2024 年全年加密货币支付	8.13 亿美元
全球年度总损失（含停产）	570 亿美元以上
2025 年受害企业数	7,307 家（138 个团伙，同比 +45%）

02 · 产业链拆解：六个角色，一条完整的黑色供应链

现代勒索攻击不是某个"黑客"的单打独斗，是一条分工明确的产业链。

▲ 勒索软件产业链：从漏洞经纪人到洗钱网络的完整分工

① 漏洞经纪人（Exploit Broker）

专门研究或购买 0day、N-day 漏洞，在私有论坛以高价出售或租赁。他们是整条链条的"武器供应商"，通常不直接参与攻击。

② 初始访问经纪人（IAB）

IAB 的工作是：以各种手段获得企业内网的初始立足点——一个带 RDP 权限的账号、一个 VPN 会话、或一台已被上线的工作站——然后在暗网挂牌出售。2025 年暗网 IAB 挂牌数量同比增长 50%，市场竞争压低了价格。

访问类型	暗网平均挂牌价（2026 Q1）
企业 VPN/RDP 账号	$439 （2023年曾达 $1,427，供过于求大降）
域管权限	$2,000 ~ $20,000+
医疗/金融机构高权限	$5,000 ~ $50,000+

③ 附属者（Affiliate）

购买 IAB 的访问权，或自行突破，完成实际入侵操作。LockBit 鼎盛时期宣称拥有超过 200 名附属者，是当时最活跃的 RaaS 平台。

④ RaaS 运营商

核心平台方。维护：加密/解密程序（RSA + AES 混合加密）、数据泄露站（.onion 暗网站点）、支付系统（门罗币/比特币多签钱包）、内部 CRM 跟踪每一个受害者谈判状态，以及 24/7 技术支持。

⑤ 谈判团队

是的，正规 RaaS 运营商配备专职谈判人员——英语流利、熟悉企业法律合规逻辑的人。他们懂得如何估算受害者的"支付能力"（查企业年报、保险状况），如何制造紧迫感（倒计时），如何给出"早付折扣"。

⑥ 洗钱网络

加密货币支付后，资金经过：混币服务 → 多层中间钱包 → 场外交易平台（OTC）→ 最终兑换法币。

03 · 攻击全流程：从"买入口"到"收赎金"

一次典型的企业勒索攻击，从 T0 到收款，通常历时 2~6 周。

阶段	关键动作
初始访问	钓鱼邮件（占 41%）、边界设备漏洞、凭据填充、或直接购买 IAB 入口
站稳脚跟	关闭/绕过 EDR，建立持久化（注册表、计划任务、后门账号），内网侦察
横向移动	Pass-the-Hash、Kerberoasting、DCSync，目标：控制域控制器
数据外泄	打包财务报表、客户数据库、员工信息传出；2025年 77% 的攻击涉及此步
全网加密	周五深夜/长假前夕触发，遍历所有共享，删除卷影副本（VSS），留下勒索信
谈判收款	受害者联系 .onion 地址，专职谈判人员接待，免费解密测试，讨论"折扣"

💡 整个流程，和企业采购谈判没什么本质区别——只是你没有选择权。

04 · 双重勒索：让受害者无路可退

早期勒索软件只做一件事：加密文件，然后要钱。问题是——如果企业有完善的离线备份，完全可以不付钱直接恢复。这个"产品缺陷"催生了双重勒索。

双重勒索的逻辑：

① 先把数据偷出来

② 加密文件（破坏运营）

③ 威胁：不付钱，数据公开

即便企业有备份能快速恢复，也要面对"客户数据、员工信息、商业机密被公开"的合规风险和声誉灾难。更进一步，部分团伙开始玩三重勒索：直接联系受害企业的客户、合作伙伴、监管机构施加外部压力；甚至四重勒索：同时发动 DDoS 攻击，让企业在恢复期雪上加霜。

▲ 双重勒索模型：数据外泄 + 加密，两把刀同时架在企业脖子上

数据拍卖机制

如果受害者拒绝支付，部分团伙会把数据放到暗网"拍卖"——竞争对手、情报买家、其他犯罪分子都可以出价。这给受害者制造了额外压力：你不付，有人愿意付。

05 · 典型团伙画像

团伙	特征	当前状态
LockBit	鼎盛期市场份额最大，200+ 附属者，覆盖 100+ 国家	2024年被执法打压，变种持续活动；与 Qilin/DragonForce 组成同盟
BlackCat/ALPHV	Rust 重写，跨平台，首创 ESXi 攻击模块，技术最先进	2024年宣告"关闭"，传闻核心成员携款跑路后改换马甲
Medusa	主攻学校/医院/政府，要价 $10万~$1500万；付费延期 $1万/天	2025年头72天60次攻击，打击 NASCAR 索赔 400万美元；FBI 五大威胁之一
RansomHub	2024末异军突起，快速吸收被打压团伙的附属者	2025年受害者数量最多，FBI IC3报告前五，当前威胁最高

06 · 几个值得记住的数字

指标	数据
2025年全球受害企业数	7,307 家，138 个团伙，同比 +45%
活跃团伙峰值（2025 Q3）	85 个，历史新高
赎金中位数（Sophos 2025调研）	100 万美元
涉及数据外泄的攻击比例	77%（2024年为 57%）
受害者支付赎金比例	约 30%，持续下降
医疗行业被攻击占比	7.4%，平均每天超 1 家

07 · 防御建议

面对这条完整的产业链，防御不可能靠单点产品，需要分层设防。

🛡 企业侧

① 备份是底线，但要离线：3-2-1 原则（3份副本/2种介质/1份物理断网），定期演练恢复流程

② 压缩攻击面：关闭不必要的 RDP，VPN 和防火墙及时打补丁——这是 IAB 最爱的入口

③ MFA + 最小权限：特权账号必须多因素认证，服务账号不要有域管权限

④ 部署 EDR 并保护它：监控异常大量文件访问、VSS 删除操作、异常加密进程

⑤ 制定响应预案并演练：发生了才第一次想怎么办，太晚了

👤 个人侧

▸ 开启自动更新，别等"以后再说"

▸ 重要文件备份到与主机物理隔离的设备

▸ 不点来路不明的附件，尤其是"发票""快递单"类邮件

▸ 使用密码管理器，避免凭据复用——你的账号可能已经在 IAB 的数据库里了

结语

勒索软件从一种技术手段，演变成了一条完整的黑色产业链：有平台、有渠道、有分工、有谈判、有售后。2025 年全球有 7,307 家组织被记录在泄露站上，平均每天 20 家，这个数字还在增长。

防御的本质，不是让自己"绝对安全"，而是让攻击者的成本高过预期收益。在勒索软件面前，没有"我们不会被盯上"——只有"我们够不够难攻"。

本文数据来源：Chainalysis 2026、Sophos 2025、Breachsense 2025年度报告。仅供安全研究与防御参考。