夜雨聆风导 读
2026年第一季度勒索软件活动仍保持高位,延续了过去一年的趋势。最新发布的《2026年第一季度勒索软件状况》报告显示,有2122家组织被列在勒索软件数据泄露站点(DLS)上,创下了历史上第二高的第一季度总数。
2026 年第一季度勒索软件活动依然居高不下,延续了过去一年来的发展趋势。
最新的《2026 年Q1勒索软件状况报告》显示,有 2122 个组织被列入勒索软件数据泄露网站 (DLS),创下了有记录以来第一季度总数的第二高纪录。
虽然攻击数量已稳定在历史高位,但少数勒索软件组织的主导地位正在重塑风险格局。
本季度最显著的发展之一是勒索软件活动的整合。排名前十的勒索软件组织攻击了全部受害者的71%,这与2025年全年呈现的分散生态系统形成了鲜明对比。
根据 Check Point Research 的研究,勒索软件生态系统正在经历重大的结构性转变,少数组织现在负责更大比例的全球攻击,从而加剧了对目标组织的影响。
与此同时,LockBit 在 2024 年凭借 163 起攻击事件实现显著的复苏,重新跻身顶级勒索组织行列。
这种集中现象反映了网络犯罪领域一个常见的循环。执法行动和竞争压力往往会淘汰规模较小的犯罪团伙,而更具韧性的团伙则会通过吸收关联公司和基础设施而扩张。
麒麟勒索软件组织连续第三个季度保持最活跃勒索软件组织的地位,共造成 338 名受害者。
因此,勒索软件攻击活动变得越来越有组织性、可扩展性强,也越来越难以阻止。
2026年Q1勒索软件攻击
Check Point 在 2026 年第一季度追踪到 70 多个活跃的勒索软件泄露网站,平均每月发布超过 700 名受害者的信息。
DLS 报告的勒索软件受害者总数(来源:Check Point)。
1月、2月和3月的月度活动保持稳定,表明威胁级别稳定但较高。
本季度最引人注目的发展是一个名为“绅士帮”(The Gentlemen)的新型勒索软件组织迅速崛起。
2026 年第一季度,麒麟、Akira、绅士和 LockBit 等组织共占所有受害者的 41%,而排名前 10 的勒索软件组织制造的受害者占所有受害者的 71%。
2026 年Q1公开声称受害者人数最多的 10 大勒索软件组织(来源:Check Point)。
短短几个月内,“绅士帮”(The Gentlemen)凭借其利用预先泄露的访问权限进行大规模运营的能力,攀升至全球第三位。
与传统的投机攻击者不同,“绅士帮”(The Gentlemen)利用现有的接入点清单,实现了快速而广泛的攻击。他们的攻击目标也与常态不同,只有 13% 的受害者位于美国,而平均水平接近 50%。
“绅士帮”(The Gentlemen)的活动集中在亚太地区和拉丁美洲,这表明攻击者越来越多地利用已经建立访问权限的地区,而不是针对特定的高价值地区。
LockBit的复兴标志着该组织已从此前执法部门的干扰中恢复过来,但其战略也发生了显著变化。该组织过去主要攻击美国境内的机构,如今已转向更加地域多元化。
近期攻击活动遍及欧洲、拉丁美洲及其他地区,这很可能是为了降低遭受严厉执法环境冲击的风险。这种转变凸显了一种日益增长的趋势:攻击者在保持攻击规模的同时,分散风险。
该报告还强调,勒索软件的攻击目标越来越取决于访问权限而非攻击意图。制造业、医疗保健和商业服务等行业由于其运营复杂性和对停机时间的敏感性,仍然受到严重影响。
从地域上看,美国仍然占受害者总数的 49.6%,这反映了其庞大的企业规模。
然而,像泰国这样的发展中国家,受害者占比高达 10.8%,这主要是由于“绅士帮”(The Gentlemen)的活动,这表明局部地区的接触方式可能会扭曲全球趋势。
同样,一些攻击组织会采取高度定向的攻击策略。例如,Play勒索软件组织将其85.1%的攻击目标指向美国境内的组织,这表明攻击者的行为差异很大。
按国家/地区统计的勒索软件受害者人数(来源:Check Point)。
2026 年的勒索软件威胁不再仅仅取决于攻击数量,而是取决于攻击力量的集中程度。数量更少但能力更强的犯罪团伙正在发起高度可重复的、以访问权限为导向的攻击,每次攻击造成的损失也更大。
随着勒索软件攻击手段的不断成熟,力量平衡正向资源充足的对手倾斜,这使得主动防御策略比以往任何时候都更加重要。
报告全文:
https://blog.checkpoint.com/research/q1-2026-ransomware-report-fewer-groups-higher-impact/
新闻链接:
https://gbhackers.com/q1-2026-ransomware-attacks/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
