华南腾飞科技 · 2026-06-10 · 安全前沿

🔴 高危预警 | 2026上半年勒索攻击量同比增长58%

📊 2025-2026年勒索软件关键数据

• 2025年全球勒索软件攻击事件超过 7,500起，同比增长58%

• 参与双重/多重勒索的活跃家族达 122个，较2024年增长近30%

• 360全年拦截网络爆破攻击 43.1亿次，保护近270万台设备

• FBI IC3报告：2024年勒索软件损失超过 1.24亿美元，投诉量增长11.7%

• 勒索赎金整体回落至百万美元量级，但总成本仍在上升——停机、取证、合规成本远超赎金

• 国内受影响行业前三：制造业、互联网/软件服务、服务业

▲ 2026年勒索软件变种威胁图谱（来源：华南腾飞科技安全实验室）

1. Play 勒索软件 — 零日漏洞武器化的"急先锋"

首次发现：2022年，2026年进入爆发期

攻击特征：利用Windows CLFS（通用日志文件系统）零日漏洞实现本地提权，获取SYSTEM最高权限后部署勒索程序。FBI已知约有900个实体受到影响。

勒索模式：典型的双重勒索——先窃取数据，再加密系统。2026年5月，Play团伙利用CLFS零日对IT、金融、地产、零售等多行业实施攻击，目标覆盖美国、委内瑞拉、西班牙、沙特等。

⚠️ 华南地区案例：2026年4月，深圳某跨境电商ERP系统遭Play变种入侵，攻击者利用未修补的Windows Server漏洞横向移动至数据库服务器，窃取并加密了超过200万条客户交易数据，赎金要价800万美元。企业最终通过离线备份恢复，但品牌信誉损失无法估量。

2. Qilin — 当前全球最活跃的RaaS平台

活跃时期：2022年至今，2025-2026年收益占比第一

攻击特征：RansomHub被查封后，Qilin迅速接管其生态，成为占主导地位的勒索即服务（RaaS）运营方。2026年2月收益占比14.99%，位居所有家族之首。支持Windows、Linux、ESXi三平台加密，攻击面覆盖物理服务器和虚拟化环境。

传播方式：主要利用被盗凭证通过RDP/VPN入侵，配合EDR杀手工具在执行前禁用安全软件。

⚠️ 我们踩过的坑：佛山一家五金企业安装了主流杀毒软件，但Qilin的EDR杀手工具在加密前成功禁用了端点防护。事后我们发现，该企业的杀毒软件已过期2个月未续费——这种"装了但没完全装"的安全设备，比不装还危险。

3. The Gentlemen — 数据为中心的"优雅勒索"

活跃时期：2025年下半年迅速崛起，2026年成为最重要新兴团伙之一

攻击特征：发展迅速、组织化运作模式突出。与传统勒索团伙的"暴力加密"不同，The Gentlemen更侧重于数据窃取和泄露，利用声誉和监管压力进行勒索。2026年2月收益占比12.32%，排名第二。这反映了勒索软件从"混乱高调攻击"向"可规模化、企业化勒索模式"的转变。

传播方式：供应链攻击、身份劫持、SaaS平台漏洞利用为主，攻击链更隐蔽、更持久。

⚠️ 2026年5月，ShinyHunters组织（与Gentlemen生态存在关联）利用Instructure Canvas平台漏洞，导致全球近9000所学校、2.75亿用户受影响，涉及哈佛、MIT等顶尖院校。这类供应链攻击的破坏力远超传统勒索。

4. Wmansvcs — 国内RDP弱口令爆破之王

活跃时期：2024年至今，2026年2月传播占比31.40%首次领跑

攻击特征：承接Phobos的传播模式，主要通过远程桌面（RDP）弱口令爆破入侵国内目标。2026年2月反超Weaxor成为传播量占比第一的关键在于新增了多个远程桌面攻击IP，终结了此前仅靠唯一IP发起攻击的模式。加密算法采用RSA-1024+ChaCha20组合，加密速度快、暴露风险低。

⚠️ 华南地区高频案例：广州一家贸易公司的财务服务器，RDP端口3389直接暴露在互联网上，密码设置为"Admin123"。Wmansvcs扫描到后3分钟内完成入侵，2小时内加密了所有财务凭证和合同文件，勒索金额15万人民币。这种"低级漏洞+高收益"的模式，是中小企业的头号杀手。

5. "无加密"勒索攻击 — 不加密也致命

趋势起点：2025年加速，2026年成为主流威胁

攻击特征：不加密文件，仅窃取数据并威胁公开。攻击者通过Telegram频道和暗网论坛传播被盗数据集，利用GDPR、数据安全法等合规压力逼迫受害者就范。这种方式大幅降低了攻击者的技术成本和暴露风险——不需要开发加密模块，不需要部署勒索软件本体，只需静默窃取然后要钱。

为什么更危险：传统备份策略对"无加密"攻击完全无效——因为你的系统正常运行，数据完好无损，但敏感信息已经在暗网上明码标价。卡巴斯基在2026年国际反勒索软件日报告中明确指出，"无加密"勒索攻击呈上升趋势。

⚠️ 我们团队在2026年3月就处理过这样的案例：惠州一家医疗器械公司没有发现任何文件被加密，但3周后收到了来自暗网的"数据样本"——包括3万多名患者的个人信息和采购合同。对方要求50万美元，否则将完整数据公开给竞争对手和媒体。

变种家族	主要入侵方式	勒索模式	目标系统	危险等级
Play	CLFS零日漏洞	双重勒索	Windows全版本	★★★★★
Qilin	RDP/VPN凭证窃取	双重/多重勒索	Windows/Linux/ESXi	★★★★★
The Gentlemen	供应链/身份劫持	数据窃取+泄露	SaaS/云平台	★★★★☆
Wmansvcs	RDP弱口令爆破	加密+勒索	Windows桌面/服务器	★★★★☆
无加密勒索	多入口（API/身份/漏洞）	纯数据泄露威胁	全平台	★★★★☆

▲ 勒索软件攻击链演进（来源：华南腾飞科技安全实验室）

变化一：从"加密"到"数据勒索"——传统备份不再是万能解药

2025年双重勒索成为标配，2026年越来越多团伙直接跳过加密环节，纯靠数据泄露施压。这意味着即使你有完美的离线备份、能从加密中恢复，数据泄露带来的合规罚款、品牌损失、客户诉讼依然是沉痛代价。一家东莞模具厂的教训很深刻：花了8万块做离线备份，系统恢复只用了1天，但因为客户数据泄露被起诉，最终和解费花了120万。

变化二：RDP + 零日漏洞，双重入口已成标配

360报告显示，远程桌面入侵和漏洞利用占勒索传播途径的近80%。更危险的是，2026年的攻击者不再是二选一——先用弱口令RDP登录做侦察，再用零日漏洞提权，两条路并行。Play团伙利用CLFS零日、Warlock利用SharePoint漏洞，都说明攻击者在"武器化零日"这条路上越走越远。

变化三：EDR杀手工具成为"标准件"

卡巴斯基在2026年5月的报告中特别指出，EDR（端点检测与响应）杀手工具已成为攻击中的"标准组件"。这些工具专门用于在执行勒索软件之前禁用安全解决方案。入侵行为变得更"深思熟虑且有条不紊"——不再是暴力跑脚本，而是有步骤地清除障碍再下手。

变化四：后量子密码学被提前采用

卡巴斯基GReAT团队发现，已有勒索软件家族开始采用后量子密码学标准。这意味着攻击者使用的加密方法，未来即使量子计算机普及也无法解密。勒索团伙采用后量子加密的速度，"比许多人预期的要早数年"。

变化五：攻击主战场向云环境和SaaS转移

360报告明确指出，2026年勒索攻击的主战场正在向云环境、ESXi及SaaS服务转移。ShinyHunters攻击Canvas教育平台事件就是一个典型案例——攻击者不再需要突破你的物理网络，直接利用SaaS供应商的漏洞就能影响你的全部数据。AWS S3存储桶也遭遇了Codefinger新型勒索软件威胁。

坑一：备份和主网没隔离，被一起加密

中山一家电子企业的备份服务器连接在主网络上，攻击者入侵后扫描到备份服务器，将在线备份和NAS一起加密。教训：备份必须离线或不可变（Immutable），与生产网络物理隔离。

坑二：安全设备"装了但过期了"

佛山一家五金厂安装了EDR终端防护，但许可证过期2个月没续费，安全团队完全不知道。Qilin攻击者轻松绕过已失效的防护。教训：安全设备的许可证到期是比不装更危险的状态——它给你虚假的安全感。

坑三：没有恢复演练，备份恢复失败

广州一家物流公司声称有完整备份，但在勒索事件后尝试恢复时，发现备份数据完整性校验失败，30%的数据无法恢复。原因是近12个月从未做过恢复测试。教训：备份不验证=没有备份。每月至少做一次关键系统恢复测试。

坑四：RDP 3389端口裸奔在外网

东莞一家模具企业将远程桌面端口3389直接映射到公网，使用弱口令，被Wmansvcs扫描后3分钟完成入侵，2小时内加密全部文件。教训：任何远程管理端口绝不允许直接暴露在互联网，必须通过VPN或堡垒机接入。

坑五：没有网络分段，一台电脑沦陷=全网沦陷

惠州一家医疗器械公司办公网和服务器网完全平铺，员工电脑中了钓鱼邮件后，攻击者横向移动到核心数据库。如果做了网络分段，攻击链至少需要额外突破两道隔离。教训：办公网、服务器网、备份网必须做VLAN分段+ACL策略隔离。

▲ 华南腾飞科技勒索软件纵深防御体系

铁规一：所有远程管理端口必须通过VPN/堡垒机接入，严禁RDP/SSH直连公网。 这是2026年华南地区勒索入侵的第一大入口。Wmansvcs就是靠RDP弱口令爆破拿下大批企业的。如果你的3389端口还在公网，今晚就关掉。

铁规二：强制执行多因素认证（MFA），覆盖所有关键系统。 包括RDP、VPN、云服务管理控制台、邮件系统、OA系统。凭证泄露是第二大入侵入口，MFA是最后一道防线。

铁规三：备份必须3-2-1+离线/不可变。 至少3份备份、2种不同介质、1份异地存储。关键备份必须离线存储或采用WORM（一次写入多次读取）不可变存储。华南腾飞科技推荐采用备份隔离区方案——备份服务器与生产网物理隔离，定期单向同步。

铁规四：每月必须做一次恢复演练。 备份不测试等于没备份。随机抽取1-2个核心系统，实际执行从备份恢复的全流程，记录恢复时间（RTO）和数据完整性。如果恢复时间超过你设定的RTO目标，说明备份策略需要调整。

铁规五：网络分段必须落地——办公网、服务器网、备份网三分离。 使用VLAN+ACL策略，限制横向移动。办公网无法直接访问服务器网段，服务器网无法访问备份网段。即使一台终端被入侵，攻击者也无法轻易扩散到核心资产。

铁规六：漏洞修补SLA——高危漏洞72小时内必须修补。 2026年零日武器化已成常态，Patch Tuesday发布后72小时是黄金窗口。Play利用的CLFS零日、Warlock利用的SharePoint漏洞，都是在漏洞披露后被迅速武器化的。建立自动化的漏洞扫描+修补工单流程。

铁规七：部署EDR+行为监控，重点关注异常登录、横向移动、大规模数据传输。 数据盗窃往往发生在加密之前，早期检测是关键。监控指标包括：非工作时间的异常登录、同一账号在多台机器上登录、大量文件向未知目的地传输、权限提升尝试。这些迹象比加密行为早数小时甚至数天出现。

铁规八：安全设备许可证管理必须纳入自动化监控。 别让自己的EDR、防火墙、杀毒软件因为许可证过期变成"摆设"。建立许可证到期前30天/15天/7天三级预警机制，续费流程必须在过期前完成。

铁规九：最小权限原则——禁用不必要的管理员权限。 日常办公不使用管理员账号，服务账号权限按最小必要分配，定期审查和轮换密码。攻击者入侵后第一件事就是提权——如果权限已经最小化，横向移动的成本将大幅增加。

铁规十：建立应急响应预案，每半年做一次勒索软件应急演练。 预案必须包括：隔离流程、通知流程（内部+监管+客户）、取证流程、恢复流程、对外沟通话术。演练时模拟真实攻击场景——发现勒索页面后15分钟内完成网络隔离，2小时内完成损失评估，24小时内完成关键系统恢复。

阶段	关键动作	时间窗口	注意事项
0-15min	断网隔离——拔掉网线、禁用WiFi、关闭交换机端口	黄金15分钟	不要重启！不要关机！保留内存状态用于取证
15min-2h	损失评估——确认受影响范围、勒索家族、数据泄露情况	2小时内	检查备份服务器是否完好，确认是否有数据外泄迹象
2h-24h	启动应急——联系安全团队/公安网监/保险公司	24小时内	不建议自行支付赎金——支付后恢复率仅65%，且会鼓励更多攻击
24h-48h	系统恢复——从离线备份重建关键系统，验证数据完整性	48小时目标	恢复前确保漏洞已修补、弱口令已修改、网络分段已建立
48h-7d	加固复盘——全面安全加固、更新预案、员工安全培训	1周内	复盘报告必须落地为可执行的安全改进计划

💡 华南腾飞科技可以为你做什么：

1. 勒索软件风险评估——全面排查RDP暴露、弱口令、过期设备、备份策略等核心风险点

2. 防御体系建设——从网络分段、备份隔离、EDR部署到应急演练，一站式方案设计与落地

3. 应急响应服务——7×24小时勒索事件处置，平均2小时内到达现场

4. 安全托管运营（MSS）——7×24小时安全监控、威胁检测、漏洞管理、事件响应

华南腾飞科技（hntfkj）

声明：本文引用的数据来源于360数字安全集团《2025年勒索软件流行态势报告》、Cyble威胁情报平台、卡巴斯基2026年国际反勒索软件日报告、FBI IC3年度报告、GuidePoint Security等公开渠道。案例中的企业名称已做脱敏处理，仅用于技术分析和防御经验分享。