信息窃取恶意软件激增，暴露17亿密码，网络安全市场面临根本转变

密码末日：信息窃取恶意软件如何重塑网络安全和投资格局

在数字世界的阴暗角落，一场前所未有的危机正在蔓延。保护我们数字生活的密码，正以前所未有的规模被窃取，这在两年前是无法想象的。网络安全专家正在敲响警钟，许多人称之为“密码末日”。

FortiGuard Labs发布的一份重磅报告显示，信息窃取恶意软件已经引发了前所未有的密码盗窃浪潮，最近在暗网犯罪论坛上公布了17亿个被盗密码。这表示信息窃取活动在短短一年内惊人地增长了500%，从根本上改变了个人和组织面临的威胁环境。

一位资深威胁研究员解释说：“我们已经进入了数字安全危机的一个全新阶段。规模不仅仅是递增，而是呈指数级增长。我们所目睹的，是基于密码的安全性的结构性崩溃。”

危机背后的惊人数字

新发布的17亿个密码只是冰山一角。安全研究人员已经发现超过1000亿个泄露的凭据在地下论坛上可用，比去年增加了42%。网络公司KELA的研究发现，39亿个凭据遭到泄露，仅2024年就有3.3亿个被盗。

也许最令人担忧的是感染率：2024年有430万台设备感染了信息窃取恶意软件，Combo、oddyery和ValidMail等专业犯罪团伙将这些被盗凭据编译并验证为“组合列表”，用于自动化的撞库攻击。

2024年7月的RockYou2024事件是历史上最大的密码泄露事件，有99亿个唯一密码以纯文本形式暴露，超过了之前的RockYou2021，后者暴露了84亿个密码。

一位专门研究暗网情报的网络安全分析师指出：“这些数字简直令人难以置信。我们谈论的不是增量增长，而是被盗凭据经济的根本转变。”

数字瘟疫的背后：信息窃取者如何工作

与可能依赖暴力破解或直接网络钓鱼方法的传统网络攻击不同，信息窃取恶意软件以令人恐惧的隐蔽性运作。这些复杂的程序会渗透到设备中，并在逃避典型安全措施的同时提取敏感数据。

该恶意软件的主要目标包括登录凭据、财务信息、浏览器cookie和跨设备的自动填充数据。信息窃取者不是突破安全屏障，而是通过简单地使用合法凭据为网络犯罪分子提供直接的帐户访问权限。

根据KELA的报告，Lumma、StealC和RedLine这三种主要的信息窃取变种占据了当前威胁环境的主导地位，共同导致超过75%的机器受到感染。Redline已成为最流行的毒株，占2024年感染的34%，而Risepro的市场份额则经历了爆炸式增长，从1.4%增长到23%。

这些恶意程序通常通过恶意下载、网络钓鱼链接、欺骗性短信、电子邮件和看似合法的在线广告传播。虽然Windows操作系统仍然是主要目标，但安全研究人员注意到一个令人担忧的趋势，即攻击越来越多地针对移动设备。

一位在调查信息窃取活动方面拥有丰富经验的安全专家解释说：“这些攻击特别阴险的原因在于它们的商业模式。每月只需约200美元，几乎任何人都可以获得信息窃取恶意软件的许可。这种恶意软件即服务的方法使凭据盗窃工业化，大大降低了犯罪分子的入门门槛。”

Snowflake灾难：传染的案例研究

在2024年4月至6月期间，Snowflake数据泄露事件成为十年来最具破坏性的网络安全事件之一。这次攻击归因于网络犯罪集团UNC5537（又名ShinyHunters），它展示了单个信息窃取活动如何在一个数字生态系统中造成级联故障。

攻击者采用了有条不紊的方法：

初始入侵始于2024年4月中旬，当时攻击者使用信息窃取恶意软件来收集凭据
到4月14日，他们获得了对Advance Auto Parts环境的访问权限，并保持了40天的访问权限
并行入侵影响了Ticketmaster和Santander Bank
到2024年5月，超过100个Snowflake客户环境遭到破坏

后果是灾难性的，最终影响了165多个组织，包括AT&T、Ticketmaster和Santander Bank。仅AT&T就遭受了500亿条记录的泄露，影响了几乎所有无线客户。Ticketmaster的超过5亿个人的个人和支付信息被泄露，而Advance Auto Parts的超过230万个人的敏感数据被泄露，包括社会安全号码。

一位参与响应的安全运营主管解释说：“Snowflake事件表明，一个泄露的凭据如何解锁整个供应链。这是一个完美的例子，说明了为什么传统的安全边界变得几乎毫无意义。”

从个体案例到系统性威胁

这场危机远远超出了理论风险。仅在澳大利亚，2021年至2025年间，黑客用信息窃取恶意软件感染设备后，至少有30,000个银行密码被泄露。包括澳新银行（ANZ）、国民银行（NAB）、西太平洋银行（Westpac）和联邦银行（Commonwealth Bank）在内的澳大利亚主要银行的客户都受到了影响。

悉尼网络安全公司Dvuln的研究人员指出，“受损客户设备的实际数量可能要高得多，因为许多感染仍然未被发现，或者在我们的视野之外的私人渠道中进行交易。”

同样，一项大规模的信息窃取活动在2023-2024年间感染了2600万台Windows设备，导致超过200万张独特的银行卡详细信息泄露到暗网市场。

2024年5月的戴尔（Dell）数据泄露事件进一步说明了不断变化的威胁环境。虽然使用的技术与典型的信息窃取者不同，但攻击者（被识别为Menelik）通过在戴尔公司门户中设置合作伙伴帐户并以每分钟5,000个请求的速度发起暴力破解攻击，从而泄露了4900万客户记录。这次攻击持续了近三个星期才被发现。

被盗凭据的黑暗经济学

收集后，被盗凭据成为犯罪市场上的宝贵商品。数据日志在暗网论坛上出售，一些分销商提供免费样品来推广高级产品。访问代理构成了网络犯罪生态系统的一个完整部门，专注于凭据盗窃，从而实现帐户接管、金融欺诈甚至商业间谍活动。

信息窃取者现在充当更广泛的网络犯罪生态系统中的关键环节：

它们充当更具破坏性的攻击的初始入口点
被盗凭据有助于勒索软件的部署
系统信息允许犯罪分子绘制网络图以进行更深入的渗透
支付详细信息和银行凭据可以直接进行金融盗窃

一位为财富500强公司提供咨询的网络安全顾问警告说：“面对这些不断演变的威胁，传统的网络安全方法正迅速变得不足。组织需要转向主动的、情报驱动的防御策略，纳入人工智能和持续威胁管理。”

市场影响：数字信任的结构性转变

2024-25年信息窃取恶意软件的爆炸式增长不仅仅是一种短暂的网络犯罪趋势，它标志着从“以密码为中心”的安全性向无密码、零信任和持续身份验证模型的根本转变。

真正的市场后果是对信任的突然重新定价。销售信任（身份、端点、保险）的公司正在获得定价权和并购货币，而仅仅消耗信任（零售、金融、SaaS）的公司则面临更高的运营成本、利润率压缩和新的监管摩擦。

一位专门研究网络安全市场的资深投资分析师观察到：“这是一场结构性冲击，将从根本上重新调整我们对数字业务的估值方式。凭据盗窃海啸正在重新评估每个垂直领域的数字信任。”

新安全范式中的赢家和输家

市场正在围绕凭据泄露的新现实迅速重新调整。可能受益的行业领域包括：

身份与访问管理

随着强制性MFA和通行密钥将IAM从“锦上添花”转变为实用工具，预计到2035年，市场将出现12%+的复合年增长率。主要参与者包括Okta、Duo/CSCO和Microsoft Entra，在为150亿个帐户启用通行密钥后，FIDO联盟生态系统的重要性日益提高。

无密码/通行密钥赋能者

RockYou2024似乎正在对密码做Heartbleed对SSL所做的事情——充当最终的引爆点。微软在2025年向10亿用户推出通行密钥代表着一个分水岭时刻。有望受益的公司包括Yubico、Trusona、来自Apple/Google的平台凭据，以及Stytch和Transmit Security等风险投资阶段的公司。

端点与MDR

由于超过75%的感染来自仅仅三个窃取者，基于签名的防病毒解决方案已经过时。Fortinet、CrowdStrike和Palo Alto Networks可以将窃取者日志遥测集成到XDR中，并追加销售SASE——Fortinet预计基于此论点实现12%的账单复合年增长率。

零信任架构

随着董事会层面的接受度不断提高，预计到2030年，总目标市场将达到920亿美元，复合年增长率为16-17%。主要参与者包括Zscaler、Cloudflare和Illumio，Banyan和Twingate被确定为可能的并购目标。

相反，凭据密度高的行业面临新的挑战：

高凭据密度行业

银行、票务平台和零售SaaS公司现在承担着新的欺诈、合规和披露成本——正如戴尔和Ticketmaster通过Snowflake数据泄露事件所了解的那样。50-100个基点的利润率逆风似乎是合理的，与从一开始就设计有无密码架构的金融科技公司相比，缺乏强大IAM的传统消费银行尤其容易受到攻击。

市场中的连锁反应

信息窃取危机正在引发一些二阶效应：

资本配置转移

并购浪潮似乎迫在眉睫，大型平台可能会收购利基通行密钥/API初创公司，以缩短上市时间。相对于历史上的10倍SaaS倍数，围绕15倍远期ARR的估值上限看起来是合理的。

风险投资正在从“又一个XDR”转向身份治理、凭据风险评分和以数据为中心的零信任方法。这种转变可能会导致种子轮融资膨胀，但当护城河清晰度不足时，B轮融资的下调速度会更快。

监管环境

欧盟和美国监管机构正在起草“关键基础设施强制性MFA”的要求。不合规的成本正在成为董事会层面的责任，进一步巩固了支出的加速。

专家预计到2027年将出现类似SOX的凭据卫生证明要求，网络保险承销商已经将类似的条款纳入保单中。

消费者行为

随着来自Apple、Google和Microsoft的通行密钥就绪浏览器现在覆盖了全球90%以上的网络流量，预计到2028年，经合组织市场中超过50%的活跃消费者登录将实现无密码。

日益严重的违规疲劳正在推动散户投资者转向以安全为中心的金融科技公司，这与2018年Equifax违规对信用监控订阅产生的影响相呼应。

后密码时代的投资机会

对于在这个快速发展的环境中航行的投资者来说，出现了几个高信心的论点：

身份中心的公司有望在2027年之前累积跑赢纳斯达克指数超过25个百分点，因为支出从网络基础设施转向身份结构。
存在一对交易机会：做多Zscaler /做空传统防火墙硬件（不包括Fortinet，后者保持专有的ASIC护城河），以从零信任迁移中获取阿尔法。
网络保险结构性票据提供了一个机会，再保险公司股权看起来很有吸引力，而相对于监管势头而言，波动性仍然被低估。
在私募市场中，将暗网窃取者日志打包成新银行的实时凭据风险评分的种子阶段初创公司代表着潜在的瑰宝，信用局对A轮收购的估值可能会增加三倍。
事件驱动型对冲策略，涉及在预期的SEC违规披露8-K文件之前，大量凭据暴露的消费者平台的空头头寸可能会被证明是有利可图的，遵循Snowflake传染中看到的模式。

未来展望和潜在的颠覆

尽管发展方向明确，但一些因素可能会扰乱这些预测：

潜在的针对强制性通行密钥的“技术抵制”可能会引发隐私反弹，可能会将采用推迟12-18个月。平台集中也存在风险——如果Apple、Google和Microsoft主导通行密钥基础设施，纯粹的无密码供应商可能会面临利润率压力。

货币条件代表另一个变量。虽然网络预算在2020-22年证明了相对抗衰退的能力，但紧缩的货币政策和不断上涨的保险费的结合可能会限制近期的倍数。

更具推测性的颠覆包括联合人工智能代理的潜在突破，这些代理可以实时检测和撤销被盗会话，这可能会削弱采用通行密钥的紧迫性。政治分裂，特别是如果美国联邦通行密钥授权在国会停滞不前，可能会减缓全球融合。此外，抗量子密码学可能会成为下一个“闪亮的对象”，可能会从身份和访问管理中吸走预算。

密码时代的终结

随着数字世界与这场前所未有的危机作斗争，一件事变得越来越清楚：密码时代即将结束。凭据盗窃海啸正在迫使人们对每个领域的数字信任进行根本性的重新评估。

一位在网络安全领域工作了三十年的先驱者反思道：“我们正在目睹一种自计算机诞生以来就一直伴随着我们的安全模型的垂死挣扎。密码一直是一个有缺陷的概念——我们只是花了50年的时间来积累足够的证据来明确地证明它。”

对于组织、投资者和个人来说，适应这种新现实已成为一种生存的必要。那些继续依赖以密码为中心的安全模型的风险在于，他们会像转盘电话一样，成为过去时代的遗物，在数字环境的严酷现实中被淘汰，在这种环境中，一年内可能会泄露17亿个密码。

密码末日已经来临。问题不再是传统安全模型是否会失败，而是组织能够以多快的速度转向现在看来不可避免的零信任、无密码的未来。