2025勒索软件攻击态势报告

-新华三主动安全系列报告- 目录 新华三聆风实验室26 在网络威胁持续演变的背景下，2025年勒索软件攻击态势加速演进。攻击活动整体保持高位运行，但攻防双方的博弈格局与犯罪生态的内在逻辑正发生结构性转变。一方面，攻击数量持续攀升，勒索组织的技术手段与商业模式不断迭代；另一方面，防御体系的完善与执法行动的深化正重塑受害者的应对策略，迫使攻击者调整其获利逻辑。新华三聆风实验室通过对全球勒索攻击活动的长期跟踪与深度剖析，总结2025年勒索攻击的主要特点如下： 1、2025年全球勒索攻击活动呈上升趋势，较2024年上升24%。从时间分布来看，攻击活动在2月、3月、11月出现三次显著的爆发高峰。全年共监测到123个活跃勒索软件组织，排名前十的（TOP10）组织活跃度合计占比57.5%，总体呈现出头部高度集中与长尾广泛分布并存的态势； 2、受害地域上，北美、欧洲、亚洲位列前三，其中美国受害者数量约占全球总量的一半，持续居于首位；受害行业层面，2025年排名前三（TOP3）受害行业依次为制造业（18.7%）、专业法律服务（15.6%）及批发零售业（9.63%）； 3、入侵手段上，凭证窃取已成为勒索攻击最主要的初始入口，其中VPN凭证、域账户和RDP凭证，是攻击者获取内网访问权限的关键突破口；防御规避层面，攻击者借助系统自带的工具及常用工具实施离地攻击（LoTL），使恶意行为混迹于正常运维流量中；加密技术层面，主流勒索软件的加密方案，正朝着进一步平衡加密效率与安全强度的方向优化升级； 4、运营模式上，头部勒索团伙正向卡特尔联盟转型，形成资源、技术与市场深度捆绑的垄断格局；施压手段上，勒索软件攻击引入监管合规胁迫模式，将单纯的数据泄露事件升级为合规丑闻；从商业模式上，勒索即服务（EaaS）模式逐步兴起，大幅降低了攻击门槛，推动勒索攻击走向“产业化”。 2勒索攻击态势 2025年勒索攻击态势在攻击频次上呈现显著变化，全年攻击数量较2024年继续攀升，并在特定月份出现多次大规模爆发。行业分布与地域格局整体延续2024年特征：制造业、专业法律服务等仍为主要受害行业，北美洲、欧洲和亚洲仍是攻击最集中地区。本章将从全年攻击频次波动、受害行业分布、受害地域格局三个维度，梳理2025年勒索攻击的具体态势。 2.1全年勒索攻击频次分析 根据图2-1统计，2025年勒索攻击活动呈现明显的高峰期。2月、3月和10月出现了三次显著的大规模爆发，其中3月的攻击次数高达890次，为全年峰值。除这三个集中增长月份外，全年勒索攻击事件总体呈现波动上升态势。从活跃团伙来看，CL0P在5月之前两次登上月度最活跃家族榜首，显示其在年初的活跃程度；而从5月开始，Qilin组织持续霸榜，成为下半年勒索攻击的主导力量。 2.2受害者地域分布 从图2-2可以看出，北美洲，欧洲，亚洲三个地区仍然是受到攻击最严重的三个洲。其中美国（53%）居于全球首位，加拿大（5.4%）排在第二。根据分布图和各地域发展情况可以看出，勒索组织更偏向经济发达、高度数字化和信息化的国家和地区，这与勒索组织追求利益最大化的目标一致。 2.3受害者行业分布 图2-3 2025勒索攻击受害行业分布 主动安全 根据图2-3统计，制造业占比最高，达到18.7%；专业与法律服务次之，占比15.6%；批发零售业以9.63%位列第三。此外，信息技术、医疗健康、金融保险等行业同样面临较高威胁。整体来看，勒索攻击的行业分布呈现两个特征：一是生产连续性和业务稳定性要求较高的行业受害比例较高，二是存储大量敏感数据的行业面临持续风险。 3.1年度勒索组织盘点 据统计，2025年共有123个勒索组织发起了7600余次勒索攻击，活跃组织数量较2024年的96个增长28.1%。从攻击事件的分布来看，排名前三（TOP3）的活跃组织依次为Qilin、Akira和CL0P，其中Qilin以近15%的份额遥遥领先；排名前十的（TOP10）组织活跃度合计占比57.5%，与其余近百个组织的总和基本持。总体上，全年勒索攻击呈现出头部高度集中与长尾广泛分布并存的态势。 图3-2新兴勒索组织TOP10 主动安全 2025年，新涌现的勒索组织数量达到56个，较2024年的46个增长21.7%。这些新兴组织发起的攻击事件占全年勒索攻击事件总数的24.53%，与去年的26.96%相比基本持平。其中，以Lynx、Sinobi为首的组织最为活跃。值得注意的是，图-2右图中“其他”类组织的活跃度占比超过三分之一，表明规模小、轮替快、难以溯源的小型团伙正在快速入场，成为威胁生态中不可忽视的活跃力量。 3.2技术与攻击手法 入侵方式分析 图3-3统计了2025年勒索攻击事件的初始入侵方式。数据显示，凭证窃取（27.78%）、钓鱼/社工（26.67%）及漏洞利用（25.56%）成为攻击者最主要的三大入侵方式，成为勒索攻击的主要切入点。值得注意的是，过去长期占据首位的漏洞利用，在2025年被凭证窃取和钓鱼/社工首次超越，表明当前勒索入侵方式正在发生转变，攻击者更倾向于通过获取身份凭据的方式突破网络安全防线。 在涉及身份凭证的入侵事件中，VPN、域账户、RDP成为攻击者突破防线的三大核心入口，具体特征及对应典型勒索软件如表3-1所示。此类入口因普遍存在防护薄弱、凭证易被窃取或破解等问题，成为攻击者利用身份凭证入侵时的首要选择，也是当前网络安全防护的重点薄弱环节。 防御规避分析 在勒索攻击实施过程中，攻击者通过各类手段规避安全防御检测、降低攻击行为暴露风险，已成为当前攻击链中的常规操作。其中，利用常用工具实现防御规避的手法尤为普遍，这类将常用工具转化为攻击武器的策略被称为LoTL（Living off the Land），相较定制化恶意软件易被检测识别的弊端，对常用工具的滥用更具隐蔽性，让恶意行为混迹于正常运维流量，让传统基于特征的检测手段难以有效区分。PowerShell、PsExec、WMI、VSSAdmin等原本用于系统管理维护的程序，也频繁现身于攻击链中。 多个活跃组织利用LoTL发起攻击：GOLD SALEM组织（又称Warlock）在攻击中滥用开源取证工具Velociraptor，借助其远程功能建立隐蔽隧道，同时通过PsExec实现横向移动，并利用组策略对象（GPO）批量部署勒索载荷；Crypto24勒索组织则在多阶段攻击链中深度组合滥用各类合法工具，以PsExec横向移动、AnyDesk建立远程访问、WMIC收集系统信息、Google Drive API外泄数据，甚至通过组策略工具gpscript.exe卸载安全软件，让攻击活动与正常运维操作高度趋同。 加密技术分析 随着终端安全产品的升级，勒索软件在目标系统内的驻留时间被大幅压缩。为在有限时间内完成加密，主流勒索软件家族从算法选择、并发执行到文件处理策略等方面不断优化，追求更高的加密效率。 表3-3统计了2025年TOP10活跃勒索软件的加密算法。2025年主流勒索软件在加密方案上呈现出“效率优先、兼顾强度”的特征。文件加密以成熟稳定且运算高效的AES系列与ChaCha20轻量级流密码系列算法为主流。密钥加密层面，传统RSA算法仍有一定使用比例，但X25519、Curve25519等椭圆曲线密码算法也已被多个家族采用。整体表明，头部活跃勒索软件的加密技术正从传统重型加密方案，向轻量化、高速度、高安全性的椭圆曲线密码与流密码组合方向演进，在加密效率与安全强度之间实现更优平衡。 除了加密算法的轻量化选型外，多线程并发技术也被用于提升加密效率。一个典型案例是Gunra勒索软件充分利用多核CPU资源，支持高达100个并发加密线程，可在短时间内完成海量文件的加密操作。此外，在追求效率的同时，加密强度也在升级优化，RansomHouse勒索软件在其名为Mario的加密器中引入了一种双密钥加密机制：采用32字节主密钥负责整体数据加密，同时为每个文件分配8字节辅助密钥进行单独加密，两类密钥协同参与加密运算。该机制显著增强了加密强度，即便部分密钥被截获，也难以还原完整明文。 因此，无论是多线程技术的应用还是双密钥机制的创新，均体现出勒索软件在适配防御环境、强化攻击效果方面的精细化发展倾向。 3.3运营和商业模式 随着LockBit勒索软件团伙遭受执法部门的打击，全球勒索软件团伙开始广泛探索多元化运营模式以规避风险。2025年，勒索软件生态发生深刻重构，传统勒索软件即服务（RaaS）模式逐步被更灵活、更多元的运营模式所替代。 卡特尔联盟 DragonForce勒索组织率先向卡特尔联盟模式转型，卡特尔通常指由多个独立主体组成的垄断性合作联盟，其核心特征是各主体保持独立，通过协同合作实现利益最大化。2025年3月，该组织启动成员加盟计划，向附属成员提供全套勒索攻击基础设施租赁服务，涵盖管理后台、谈判工具、文件存储系统及数据 主动安全 泄露站点等核心模块。与传统RaaS模式不同，DragonForce不强制附属成员使用其加密器，也不参与赎金分成，而是以收取平台服务费来盈利。 转型颇有成效，9月，DragonForce联合头部勒索团伙LockBit与Qilin正式宣布结盟，组成勒索软件生态中罕见的卡特尔联盟，图3-5展示了三者结盟流程及联盟核心合作框架。与此同时，Scattered Spider、ShinyHunters与LAPSUS$也组成类似的联盟，以新的勒索组织身份Scattered Lapsus$ Hunters重新活跃于网络犯罪市场中。 合规胁迫 2025年勒索软件在传统双重勒索基础上演化出更具针对性的施压手段——利用监管合规压力强化施压效果。 Anubis勒索组织率先开创了利用监管机构施压的模式，威胁将受害者数据泄露情况直接通报美国、英国和欧洲相关监管机构，借助监管威慑力迫使受害者妥协。 Qilin勒索组织在此基础上进一步升级施压操作，5月份，该团伙向其附属成员推出多种服务，助力其附属成员在赎金谈判中提升要价能力，其中一项所谓“法律协助”服务，本质上是一种恶劣的监管胁迫手段，如图3-6所示。通过引入专业人士审查窃密数据内容，挖掘其可能存在的监管合规违规点，再以此向税务机关、执法机构或监管部门发起恶意举报。这种做法的杀伤力在于将数据事件升级为合规丑闻，企业面临的不再仅是恢复成本，更包括监管追责与巨额罚款。 勒索即服务 受全球执法打击影响，勒索软件生态中衍生出一种新型商业模式——勒索即服务（Extortion-as-a-Service，EaaS）。EaaS与传统的RaaS（勒索软件即服务）模式存在本质区别，EaaS是基于品牌声誉的犯罪服务模式：平台方不直接提供加密或窃密工具，而是依托自身通过既往攻击积累的犯罪记录和业内知名度，为具备技术入侵能力但缺乏谈判影响力的攻击者提供数据泄露网站发布、赎金谈判支持等服务。简而言之，EaaS出售的是“勒索”能力。 一个典型案例是ShinyHunters运营的EaaS平台。该团伙10月初正式推出自有数据泄露网站，公开运营其EaaS模式，以抽取25-30%赎金的方式与其他攻击者合作。不久后，新兴勒索组织Crimson Collective成功入侵IBM旗下红帽公司（Red Hat），与其建立合作，依托ShinyHunters的数据泄露网站发布受害者信息并限定勒索期限。 EaaS平台通过为中小型攻击者提供基础设施与信用背书，显著降低了勒索攻击的实施门槛，加速了勒索活动的产业化进程。这种以纯勒索为核心的商业模式正在重塑网络犯罪的经济逻辑。 勒索攻击发展趋势 2025年勒索软件攻击形势持续演变，勒索攻击生态体系正从技术手法、商业模式到攻击目标、组织形式的迭代升级。本章基于2025年国内外权威报告及重大攻击事件，系统梳理勒索攻击的核心发展趋势。 4.1 AI全面赋能勒索攻击 2025年，人工智能（AI）从辅助工具跃升为勒索攻击的核心引擎，显著提升了攻击的效率、隐蔽性与破坏力，成为重塑勒索攻击形态