> **来源:[研报客](https://pc.yanbaoke.cn)** # 勒索软件威胁与防护年度报告(2026)总结 ## 核心内容概述 2025年全球勒索软件攻击呈现出爆发式增长,对企业和个人用户构成严重威胁。本报告从两个视角出发,一是通过 Ransomware.live 全球威胁情报平台的统计分析,二是基于 SolarCERT 安全应急响应团队的实战处置经验,全面揭示勒索软件的攻击态势、技术发展、攻击手段与防御建议。 ## 主要观点 ### 1. 勒索攻击态势 - **攻击规模与趋势**:2025年全球勒索攻击事件达7920起,SolarCERT 国内处置案件达534起,同比增长544.89%,显示出攻击活动的高频化和规模化。 - **时间分布**:呈现“双峰一谷”模式,第一季度(29.3%)和第四季度(47.29%)为攻击高峰,第二、三季度为低谷。攻击者利用企业 IT 预算周期和财务压力进行精准打击。 - **攻击目标**:制造业成为攻击的主要目标(17.6%),同时,MS-SQL 数据库服务器成为国内主要攻击对象。 ### 2. 主流勒索组织与家族分布 - **全球Top5勒索家族**: - **Qilin**(麒麟):市场占比12.4%,以 RaaS 模式运营,技术栈从 Go 迁移至 Rust。 - **Akira**:主要针对美加地区,采用双重勒索模式,代码与 Conti 有相似性。 - **Clop**:策略转型为“无加密勒索”,利用 0-Day 漏洞进行数据窃取。 - **Play**:封闭式运营,依赖双重勒索,通过 OSINT 手段施压。 - **Incransom**:起步即成熟,专注高敏感行业,利用数据泄露施压。 - **国内Top5勒索家族**: - **Weaxor**(Mallox 变种):攻击 MS-SQL 数据库,利用暴力破解和已知漏洞。 - **BeijingCrypt**:本地化攻击,通过 RDP 暴力破解和钓鱼邮件渗透。 - **盗版 LockBit 3.0**:因源码泄露导致变种泛滥,解密工具可靠性低。 - **Rast Gang**:采用 Rust 编写,具备快速加密能力。 - **Makop**:Phobos 变种,具备双重勒索能力,采用 AES-CBC 和 RSA 加密方式。 ### 3. 勒索家族加密方式 - **混合加密架构**:普遍采用“对称加密(文件内容)+ 非对称加密(会话密钥)”,确保数据恢复难度极大。 - **算法多样化**:如 Curve25519(X25519)等椭圆曲线算法被广泛采用,提升密钥生成与交换效率。 - **语言迁移**:Go 和 Rust 成为勒索软件开发的主流语言,替代 C/C++。 ### 4. 入侵路径与传播机制 - **主要入侵方式**: - **RDP 与凭据泄露**(45%):攻击者通过暗网购买凭据或暴力破解未启用 MFA 的系统。 - **高危漏洞利用**(30%):如 Fortinet 防火墙 SSL VPN 漏洞,用于无凭据攻击。 - **弱口令与数据库暴露**(12%):Weaxor 家族利用 MS-SQL 数据库的公网暴露进行自动化攻击。 - **钓鱼邮件与社会工程**(10%):诱导用户运行恶意附件。 - **技术特征**: - 利用合法系统工具(如 sqlps.exe)进行无文件执行。 - 攻击者利用边界设备漏洞进行突防,如 FortiGate。 ### 5. 勒索组织演化与家族更替 - **新增勒索家族**:2025年新增多个勒索家族,如 TheGentlemen、LockXX、LockBit5.0 等,这些家族多采用 RaaS 模式,具备较高的运营效率。 - **双重/多重勒索模式**:加密+数据窃取成为主流,部分家族还加入 DDoS 攻击手段,如 Phobos、Clop、Incransom 等。 - **家族状态**:部分家族如 Phobos、Mallox 等已离线,而 Qilin、Akira、Clop 等仍活跃。 ### 6. 防护与应急响应建议 - **企业层面**: - 加强安全意识培训,提升员工防范能力。 - 建立完善的安全防护体系,包括防火墙、入侵检测系统和数据备份。 - 制定并定期演练应急响应预案,以应对勒索攻击。 - 加强对核心业务系统的保护,避免攻击者锁定关键资产。 - **个人用户层面**: - 增强安全意识,避免点击可疑链接或打开未知附件。 - 避免高风险上网行为,如访问不安全网站或使用弱密码。 - 遭遇勒索时,应避免支付赎金,寻求专业安全团队协助。 - **红色预警日历**:基于数据分析,制定资源调配策略,以应对攻击高峰。 ## 关键信息 - **攻击时间分布**:2025年勒索攻击呈现“双峰一谷”模式,2月和12月为攻击高峰。 - **高危事件占比**:SolarCERT 处置案例中,高危事件占比高达99.61%,攻击者针对核心业务系统。 - **双重勒索模式**:55.32% 的案例涉及双重勒索,攻击者利用数据泄露施压。 - **二次勒索风险**:35.2% 的企业因未彻底清除内网后门而遭遇二次攻击。 - **攻击技术趋势**:勒索软件逐渐采用更复杂的加密方式和更隐蔽的传播手段,如利用合法工具进行无文件执行。 ## 附录 - **2025年重大勒索事件回顾**:包括 Qilin 对 Synnovis 的攻击、Clop 的无加密勒索等。 - **勒索家族特征描述**:列出各家族的核心特征、技术演进及攻击模式。 ## 结论 勒索软件攻击在2025年呈现出前所未有的规模和复杂性,攻击者通过技术手段和心理战术,对企业造成巨大威胁。本报告强调了企业与个人在安全意识、防护体系和应急响应方面的必要性,并提出针对性的防护建议,以应对勒索软件的持续威胁。