> **来源:[研报客](https://pc.yanbaoke.cn)** # 2025 勒索软件攻击态势总结 ## 核心内容 2025年勒索软件攻击态势持续升级,攻击数量较2024年增长24%,呈现出技术手段多样化、攻击模式智能化、商业模式产业化的发展趋势。攻击活动在2月、3月和11月出现三次显著爆发高峰,其中3月达到全年峰值,共890次攻击。攻击者通过多种方式获取初始访问权限,并利用自动化工具、云基础设施和AI技术提升攻击效率与隐蔽性。 ## 主要观点 - **攻击频次上升**:全年勒索攻击数量持续增长,攻击活动呈现明显的月份集中趋势。 - **地域与行业分布**:北美、欧洲、亚洲是主要受害地区,美国占比最高(约53%)。制造业、专业法律服务和批发零售业是受攻击最严重的行业。 - **入侵方式转变**:凭证窃取(27.78%)和钓鱼/社工(26.67%)成为主要入侵方式,取代了传统漏洞利用。 - **防御规避手段升级**:攻击者广泛使用LoTL(Living off the Land)策略,利用系统自带工具进行隐蔽攻击。 - **加密技术优化**:主流勒索软件采用AES系列与ChaCha20流密码,结合RSA和椭圆曲线加密算法,以平衡效率与安全性。 - **运营模式多元化**:勒索组织向卡特尔联盟转型,形成资源、技术与市场深度绑定的垄断格局。同时,EaaS(勒索即服务)模式兴起,降低攻击门槛,推动勒索活动产业化。 - **施压手段升级**:勒索软件引入监管合规胁迫模式,将数据泄露事件升级为合规丑闻,增加企业妥协压力。 - **漏洞武器化加速**:关键漏洞从披露到被利用的周期大幅缩短,攻击者快速响应并利用漏洞实施攻击。 - **生态碎片化加剧**:执法打击导致大型组织衰落,小型团伙快速崛起,形成高度分散且具有韧性的犯罪网络,提升了攻击归因与溯源难度。 - **攻击工业化演进**:攻击流程趋向自动化,基础设施云化,推动勒索攻击向标准化、流程化的生产模式发展。 ## 关键信息 ### 勒索攻击频次分析 - 全年攻击数量较2024年增长24%。 - 2月、3月、11月出现三次大规模攻击高峰,3月为全年峰值。 - CLOP在5月前占据月度最活跃组织榜首,Qilin自5月起成为主导力量。 ### 受害地域分布 - 北美、欧洲、亚洲为攻击最集中地区,美国受害者数量占全球总量的53%。 - 攻击更倾向于经济发达、高度数字化的国家和地区。 ### 受害行业分布 - 制造业(18.7%)、专业法律服务(15.6%)、批发零售业(9.63%)为前三受害行业。 - 信息技术、医疗健康、金融保险等行业同样面临较高威胁。 ### 技术与攻击手法 - **凭证窃取**成为主要入侵方式,其中VPN、域账户、RDP是最常被利用的入口。 - **LoTL**(Living off the Land)策略广泛使用,攻击者利用合法工具实施隐蔽攻击。 - **加密算法**优化,主流采用AES与ChaCha20流密码,结合RSA与椭圆曲线算法,提升加密效率与安全性。 - **多线程与双密钥机制**提升加密速度与强度,如Gunra支持100个并发线程,RansomHouse采用双密钥加密。 ### 运营与商业模式 - **卡特尔联盟**形成,如DragonForce与LockBit、Qilin结盟,共享资源与市场。 - **EaaS**(勒索即服务)模式兴起,提供数据泄露网站发布与赎金谈判支持。 - **合规胁迫**成为新趋势,攻击者通过威胁泄露数据引发监管追责。 ### 攻击发展趋势 - **AI全面赋能**:AI用于生成攻击脚本、规避EDR、优化加密策略。 - **漏洞武器化速度加快**:漏洞从披露到被利用周期缩短至数小时,攻击者快速响应。 - **勒索生态碎片化**:小型团伙快速崛起,形成分散但韧性强的犯罪网络。 - **攻击工业化演进**:攻击流程趋向自动化,云基础设施被广泛使用,推动规模化复制。 ## 附录概览 ### 年度勒索大事件 - **1月**:Qilin攻击澳大利亚货代公司,窃取22GB数据。 - **2月**:Medusa攻击英国护理集团,窃取2.275TB数据。 - **3月**:Qilin攻击美国媒体公司,导致系统瘫痪。 - **4月**:RansomHouse攻击南非移动运营商,影响770万用户。 - **5月**:Everest攻击可口可乐公司,泄露959名员工信息。 - **6月**:Chaos攻击美国税务咨询公司,泄露69GB客户数据。 - **7月**:Akira攻击俄罗斯酒类零售商,导致系统关闭。 - **8月**:Qilin攻击药物研发公司,窃取176GB研究数据。 - **9月**:HardBit攻击柯林斯宇航,导致机场运营中断。 - **10月**:Qilin攻击大众汽车,窃取150GB敏感数据。 - **11月**:Qilin攻击日本啤酒公司,造成产品短缺。 ### 新兴活跃勒索组织 - **Benzona**:首次出现于2025-11,使用网络钓鱼和凭证攻击,针对Windows平台,采用AES-256加密,后缀为.benzona。 - **BERT**:首次出现于2025-04,使用.NET编写,针对Windows、Linux和VMware ESXi,采用ChaCha20 + Curve25519加密,后缀为.encryptedbybert。 - **DATAcARRY**:首次出现于2024-12,使用Go语言,针对Windows,采用AES-256和RSA加密,后缀为.datacarry。 - **Devman**:首次出现于2025-04,使用C++和Rust编写,针对Windows、Linux和VMware ESXi,采用AES-256和RSA加密,后缀为/devman、.devman1。 - **Gunra**:首次出现于2025-04,使用C++编写,针对Windows、Linux和VMware ESXi,采用ChaCha20 + RSA加密,后缀为.ENCRT。 - **InterLock**:首次出现于2025-09,使用Rust编写,针对Windows、Linux和VMware ESXi,采用AES + RSA加密,后缀为.interlock。 ## 新华三聆风实验室 新华三聆风实验室专注于威胁狩猎、情报生产、高级威胁追踪等技术研究,通过人工与AI结合的方式,实时产出多维度的威胁情报,为新华三安全产品和解决方案提供支持,助力客户数字化转型。