> **来源:[研报客](https://pc.yanbaoke.cn)** # 勒索软件威胁与防护 2026年度报告总结 ## 核心内容 本报告聚焦2025年勒索软件攻击态势、组织演进、攻击手段及防护建议,旨在帮助企业全面了解勒索软件威胁,并制定科学有效的防御策略。报告通过SolarCERT安全应急响应团队的实战数据与Ransomware/live全球威胁情报平台的数据进行双重视角分析,揭示了勒索软件攻击的高峰与低谷,以及攻击者的技术发展和战术演变。 ## 主要观点 - **勒索攻击规模与趋势**:2025年勒索攻击呈现“双峰一谷”运营周期,其中2月达到全年峰值,47.29%的第四季度增长显示出年末的集中攻击态势。 - **攻击者格局变化**:Qilin家族以12.4%的市场份额位居全球第一,Akira和Clop紧随其后。国内Weaxor(Mallox变种)成为最大威胁。 - **攻击模式转变**:双重勒索(加密+数据泄露)成为主流,攻击者利用数据泄露施压,迫使受害者支付赎金。部分家族转向“无加密勒索”模式,仅窃取数据并勒索。 - **攻击手段多样化**:攻击者采用RDP爆破、漏洞利用、钓鱼邮件、社会工程学等多种手段入侵系统,且利用合法工具进行隐蔽攻击。 - **防御策略强化**:企业需加强安全意识培训,构建全面的安全防护体系,并制定应急响应预案,以应对勒索软件攻击带来的风险。 ## 关键信息 ### 勒索攻击态势 - **全球趋势**:全年共发生7920起勒索攻击,呈现显著的“双峰一谷”特征,2月和4月为高峰,6月为低谷。 - **国内情况**:SolarCERT团队全年处置勒索事件534起,同比增长544.89%,其中高危事件占比高达99.61%,双重勒索占比达55.32%,二次勒索占比35.20%。 - **攻击目标**:主要集中在制造业、医疗行业、金融行业及关键基础设施,尤其是涉及高价值数据的企业。 ### 主流勒索组织与活跃家族 - **全球TOP5勒索家族**: - **Qilin**:采用RaaS模式,利用Go和Rust开发,攻击Windows及VMware ESXi系统。 - **Akira**:针对美国和加拿大的医疗、金融及制造业,代码与Conti家族相似,采用Rust开发。 - **Clop**:从“加密+窃取”转向“无加密勒索”,利用0-Day漏洞快速窃取数据。 - **Play**:采用封闭式运营,利用Tor网络进行通信,具有较高的隐蔽性。 - **Incransom**:起步即成熟,专注于高敏感行业,采用双重勒索模式,利用OSINT施压。 - **国内TOP5勒索家族**: - **Weaxor**:攻击MS-SQL数据库,利用合法工具进行隐蔽执行。 - **BeijingCrypt**:利用RDP暴力破解和钓鱼邮件,主要针对中小企业。 - **盗版LockBit3.0**:由于源码泄露,攻击者可自定义勒索信内容。 - **Rast Gang**:采用Rust语言,具有快速加密能力。 - **Makop**:Phobos家族的变种,具备双重勒索能力。 ### 勒索家族加密方式 - **混合加密架构**:普遍采用对称加密(文件内容)+ 非对称加密(会话密钥)。 - **算法多样性**:RSA、AES、Curve25519等算法被广泛使用,部分家族开始采用Curve25519以提升效率。 - **技术演进**:Go和Rust语言因跨平台和逆向分析难度高,逐渐成为勒索软件开发的主流语言。 ### 勒索软件入侵路径与传播机制 - **主要入侵方式**: - **RDP与凭据泄露**:占比45%,是主要入口。 - **高危漏洞利用**:占比30%,利用如Fortinet防火墙、OA系统等漏洞。 - **弱口令与数据库暴露**:占比12%,如Weaxor家族针对MS-SQL数据库。 - **钓鱼邮件与社会工程学**:占比10%,利用附件或链接诱导用户点击。 - **攻击战术**: - 利用Mimikatz等工具提取管理员凭据。 - 利用合法系统工具(如sqlps.exe)进行无文件攻击。 - 利用边界设备漏洞进行突防。 ### 勒索组织演化与家族更替 - **新增勒索家族**:2025年涌现多个新勒索家族,如TheGentlemen、LockXX、LockBit5.0等。 - **家族状态**:部分家族如Phobos、Babuk等已离线,而如Qilin、Clop、Play等仍活跃。 - **双重/多重勒索模式**:越来越多的勒索家族采用加密+数据窃取的双重勒索,甚至加入DDoS攻击。 ### 防护与应急响应建议 - **企业层面**: - **应急处置流程**:建立并演练应急响应流程,确保在遭受攻击时能迅速应对。 - **安全体系规划**:部署防火墙、入侵检测系统、数据备份等,及时修复系统漏洞。 - **加固与防护措施**:加强内网安全,防止二次攻击。 - **个人用户层面**: - **安全意识与习惯**:提高警惕,避免点击不明链接和附件。 - **高风险行为防范**:避免使用弱口令,定期更新系统。 - **应急处理措施**:遭遇勒索时,不要支付赎金,应寻求专业应急响应团队帮助。 - **红色预警日历**:基于数据制定资源调配策略,提前预警高风险时间段。 ## 结论 2025年的勒索软件攻击呈现出高度组织化、多样化和隐蔽化的趋势,攻击者利用多种手段入侵系统,且多采用双重勒索策略。企业需加强安全防护与应急响应能力,以应对日益复杂的勒索软件威胁。同时,个人用户也应提高安全意识,避免成为攻击的突破口。