勒索软件威胁与防护

文件类型：PDF

文件页数：150+

下载方式：见文末

————————

2025年全球勒索攻击呈爆发态势，，攻击时间分布呈“双峰一谷”特征，Qilin家族全球占比12.4%居首，国内Weaxor家族为主要威胁，攻击模式向“加密+窃密+二次勒索”复合型发展，医疗、制造业为高危行业，报告提出企业与个人防护及应急响应建议。

勒索攻击态势

2025年SolarCERT处置国内勒索案件534起，同比增长544.89%，攻击时间分布呈“双峰一谷”特征，2月（1016起）和第四季度（2417起，环比增长47.29%）为高峰，6月（498起）为低谷。高危事件占比99.61%，双重勒索占55.32%，35.2%企业遭二次攻击。Weaxor家族第二季度集中爆发，利用N-day漏洞和公网暴露数据库端口攻击。全球Top10勒索家族占案发量79.58%，Qilin以12.4%全球占比居首，Akira（9.5%）、Clop（6.6%）紧随其后，全球Top10家族均采用双重勒索并建立DLS。国内Weaxor（Mallox变种）、BeijingCrypt、盗版LockBit 3.0、Rast Gang、Makop为主要威胁家族。勒索软件加密机制采用“对称+非对称”混合架构，Go和Rust语言逐渐取代C/C++。

初始入侵矢量中，RDP与凭据泄露占45%，高危漏洞利用占30%，弱口令与数据库暴露占12%，钓鱼邮件与社会工程学占10%。攻击者利用身份认证攻击（如提取管理员凭据）、漏洞武器化（如Fortinet防火墙漏洞）、云环境与边界资产暴露风险（如ESXi服务器漏洞）进行入侵传播。

2025年新增多个勒索家族，如TheGentlemen、LockXX、LockBit 5.0等，采用RaaS架构快速形成攻击能力。双重/多重勒索成为主流，部分组织转向“无加密勒索”，如World Leaks。

受害者画像与风险特征

地理分布：受害单位集中在广东、北京、上海、四川、山东等省份，Top5省份合计占比接近80%。

受攻击系统与平台：Windows Server 2008（21.8%）和Windows Server 2012（20.38%）为主要受害操作系统，ESXi、NAS及Linux等关键基础设施受害占比约5.2%。

所属行业：医疗行业（23.97%）为头号重灾区，制造业（15.7%）、信息技术（9.09%）、零售（8.26%）等行业也面临高频攻击。

攻击者行为与攻击手段

勒索家族组织发展与事件：Qilin采用“高技术精英化狙击”模式，针对金融基础设施，引入“Call Lawyer”功能进行法律勒索；DragonForce通过降低加盟门槛实现规模化扩张。LockBit经历从崛起、技术迭代到因执法打击和内部数据库泄漏而衰败。Weaxor作为Mallox变种，利用React2Shell漏洞和sqlps.exe规避检测。8Base作为Phobos附属组织，因国际执法行动覆灭。还存在黑客“黑吃黑”及地下赎金中介暴利现象。

基础设施与活动特征：核心基础设施依赖TOR网络，即时通讯使用TOX、Session、Telegram，专用加密邮箱有Proton Mail、OnionMail等，主流公共邮箱被用于伪装渗透。

攻击手段与技术路径：口令破解攻击包括RDP、Sqlserver数据库、VPN、Web应用弱口令破解；漏洞利用攻击涉及财务系统SQL注入和RCE漏洞等；横向渗透与权限扩散通过内网扫描、凭据窃取、远程连接等实现，导致多台服务器被加密。

技术发展与风险趋势

AI技术影响：AI降低勒索攻击技术门槛，推动运营规模化，如FunkSec利用AI实现自动化谈判；RaaS生态智能化重构，如Nova家族优化供应链；原生AI恶意软件实现动态多态，如PromptLock规避静态检测。

全球化商业体系：2024-2025年全球勒索软件支付规模达17.3亿美元，产业链分工精细，形成“黑色SaaS”平台。生态分化为“平民化扩张”（如DragonForce）和“精英化博弈”（如Qilin），攻击逻辑转向合规武器化与ROI导向。

无加密勒索兴起：以World Leaks为代表，放弃加密专注数据窃取与隐私勒索，采用EaaS模式，降低技术成本与风险。

防护与应急响应建议

企业防护：发现攻击后立即隔离、排查范围、保护现场、专业介入；规划安全体系需收敛暴露面、建立不可篡改备份、实施网络微隔离、管理漏洞全生命周期；处置后进行全网凭证重置、清除后门、验证补丁与封堵策略。

个人防护：常态化数据备份、更新系统软件、保障账号安全；防范高风险上网行为，远离盗版软件、警惕钓鱼邮件；遭遇风险时立即断网、勿信付费解密、寻求专业协助。

红色预警日历：根据攻击季度特征，在2月、5-8月、Q4等关键时期调整资源调配，加强监控与响应。

重大事项

EcuacorrienteS.A.矿业公司遭“TheGentlemen”勒索，数据被公开；Ingram Micro技术分销商业务系统中断影响全球IT供应链；Asahi Group Holdings饮料制造商生产运营受Qilin攻击中断；Jaguar Land Rover汽车制造商全球生产研发体系遭攻击，英国政府提供贷款担保；DaVita Inc.肾脏护理服务商遭Interlock攻击窃取510GB数据；Nissan Capital金融公司被Qilin声称窃取大量内部数据。

勒索软件威胁与防护年度报告（2026）.pdf

基于 MITRE ATT&CK 的对手模拟：弥合红蓝鸿沟.pdf

网络攻击溯源分析系统技术要求.pdf

2026年3月勒索软件流行态势报告.pdf

2025勒索软件攻击态势报告.pdf

Windows应急响应和安全加固.pdf

2025年中国企业邮箱安全性研究报告.pdf

Apifox供应链投毒调查分析报告.pdf

LiteLLM供应链投毒调查分析报告.pdf

ContextHub文档投毒调查分析报告.pdf

2026年02月勒索软件流行态势分析.pdf

2025年网络安全漏洞态势报告.pdf

2025开源供应链投毒分析技术报告.pdf

OWASP TOP 10 2025（中文版）.pdf

人工智能攻击.pdf

2026红队评价框架.pdf

2026年1月勒索软件流行态势分析.pdf

2025年网络空间安全漏洞态势分析研究报告.pdf

2025年全球高级持续性威胁（APT）研究报告.pdf

2025年度网络安全漏洞威胁态势研究报告.pdf

2025年度网络安全漏洞分析报告.pdf

实战化工业靶场应用指南（2025版）.pdf

2025年网络攻击威胁洞察报告.pdf

网络安全群

–