行业研究公司研究宏观策略财报招股书会议纪要 Token 低空经济十五五 AIGC 大模型

2025年勒索软件概览

信息技术 2026-06-15 - S2GRUPO 大王雪

Ransomware 2025 年概述：预见一个更安全的网络世界

战略概述

勒索软件已成为数字时代最严重和最普遍的网络威胁之一，影响个人和各行业、各规模的组织。地缘政治事件直接影响勒索软件攻击的兴起，网络攻击已成为混合战争的一种常见工具。勒索软件攻击不再仅仅是随机攻击，而是使用先进的社会工程技术、利用未修补的漏洞和在企业网络中进行横向移动的针对性操作。高级持续性威胁 (APT) 组织，传统上专注于网络间谍活动，近年来将勒索软件作为附加工具，结合经济目标与战略或地缘政治目标。

现代勒索软件变体不仅加密文件，还会在加密之前窃取信息，增加额外的勒索层：如果受害者不支付赎金，则威胁公开窃取的数据。这种双重策略使许多受害者屈服于敲诈，助长了持续增长的犯罪模式。

工业环境中的新兴风险尤为突出。近年来，勒索软件攻击已从仅针对 IT 环境转变为直接威胁运营技术 (OT) 环境。IT 和 OT 网络的融合，加上遗留系统和保护不足，为网络犯罪分子开辟了新的机会。

2024 年：新团体的兴衰

2024 年，勒索软件生态系统充满高度波动。主要活跃勒索软件团体的解体、内部派系冲突和新联盟的涌现导致全球犯罪地图重组。这种权力平衡的变化并不意味着威胁减少，而是相反：它证明了其适应能力和弹性。

2024 年全球受害者数量同比下降约 15%，主要原因是 LockBit 的衰落，该团体受到执法干预而瓦解。Cl0p 在 2023 年是一个突出的团体，但在 2024 年下降，2025 年第一季度又显著增加。BlackCat (ALPHV) 的解体直接导致了 RansomHub 的崛起，后者在 2024 年出现并在 2025 年第一季度产生了重大影响。Akira 在 2024 年持续活跃，2025 年迄今为止其活动量已达到去年记录的水平。

全球受害者数据表明，2024 年 5 月和第四季度活动最为活跃。RansomHub、LockBit、Play、Akira 和 Hunters International 占据了受害人数最多的前五名。美国仍然是受勒索软件影响最严重的国家，其次是加拿大、英国、德国和意大利。在欧盟成员国中，除了全球前 10 名国家外，比利时、荷兰、瑞典和波兰也突出。拉丁美洲受影响最严重的五个国家是巴西、墨西哥、阿根廷、哥伦比亚和秘鲁。制造业、卫生服务和建筑行业是受影响最严重的部门。

2025 年趋势

2025 年第一季度，勒索软件案件数量同比增长 76%，随后在 3 月份下降 68%。尽管如此，3 月份的受害者数量仍然比 1 月份高 4%，表明该季度整体保持了高活动水平。这种波动主要归因于 Cl0p 在 2 月份显著加强攻击，然后在 3 月份大幅减少活动。

2025 年初，Lynx、Arcus Media 和 SafePay 等新兴团体参与了高影响攻击。Cl0p 在 2 月份是最活跃的团体，但在 3 月份不再是前 10 名之一，这证实了其集中攻击特定时期的策略。Akira 在 2025 年凭借 RansomHub 在 4 月份的活动量超过了 RansomHub，成为受害者数量最多的团体。Lynx 作为 2024 年中出现的 INC Ransom 团体的演变，继续增长并成为当年最活跃的团体之一。

受勒索软件影响最严重的国家仍然是高 GDP 国家，如美国、加拿大、德国、英国或日本。这些国家由于拥有众多跨国公司和收入高的组织，通常被视为有利的攻击目标。此外，高 GDP 国家通常具有更高的技术和数字依赖性，包括自动化的关键基础设施、金融服务和全球供应链。这放大了网络攻击的影响，从而增强了攻击者的勒索能力。

制造业和卫生部门继续在 2025 年前几个月成为勒索软件团体攻击数量最多的部门，信息技术 (IT) 和零售业也出现上升。制造业、卫生保健、信息技术、零售和建筑是受影响最严重的部门。针对运营技术 (OT) 环境的勒索软件攻击已显著增加，严重影响了全球关键基础设施。攻击 OT 环境的勒索软件可能导致物理和工业过程的中断、从 IT 网络到 OT 的传播，以及增加对受害者的压力。

勒索软件的保护和应对

在一个勒索软件作为专业化犯罪产业运作的环境中，保护组织不能依赖一次性或通用措施。它需要一个全面战略，具有战术眼光、技术能力和协调响应，涵盖事件生命周期所有阶段。

关键的保护建议包括：量身定制的培训和有针对性的意识宣传、主动的资产和漏洞管理、熟练的专业人员和有效管理的工具、更新安全系统并扩展功能、跟踪可用的解密工具、以应急为重点的网络安全计划、威胁建模和用于监控 APT 团体的网络情报，以及 OT 环境的保护专家。

S2GRUPO 提供一系列工具来覆盖整个周期，包括 MicroClaudia（用于阻止勒索软件的工具）、MicroClaudia 平台（用于管理网络安全事件和威胁）、Gloria（高级威胁搜寻工具）、Carmen（端点解决方案）和 Claudia（端点解决方案）。

结论

当前勒索软件格局表明，该威胁不仅持续存在，而且正在迅速适应，整合了技术、经济和地缘政治维度。勒索软件已成为有组织犯罪和国家行为者的多功能工具，需要全面和主动的方法。工业环境和关键基础设施现在是优先目标，鉴于其战略重要性和 IT 和 OT 网络融合带来的暴露。这种演变加强了采用针对运营系统的特定网络安全框架以及投资先进检测、事件响应和组织弹性能力的需要。

在网络层面，需要培养基于持续培训、风险管理和危机规划的网络文化。从国家和国际层面来看，需要加强公共和私营部门之间的合作，以及推进监管框架和协议，以阻止和起诉负责的团体，即使他们从合作程度低的司法管辖区运作。总之，预见勒索软件的演变并减轻其影响需要持续的战略决策、持续的投资和坚实的治理，将网络安全和网络安全情报作为所有级别的必要跨领域优先事项。

Disclaimer:This report has been prepared by S2GRUPO forinformation and professional purposes. Its content is protectedby intellectual property rights and reflects the company’s analysisand expert knowledge of the ransomware landscape. Its reading Executive In a context of growing geopolitical instability, technologicaltension and accelerated threat evolution,ransomwarehasconsolidated its roleas a key tool for disruption and extortion incyberspace.What began as an opportunistic criminal technique This report, prepared byS2GRUPO’s LAB52 team, analyses themain active ransomware groups, their recent evolution, emergingtactics, as well as the most affected sectors and regions. It alsoprovides a critical reading on IT/OT convergence and its impact Beyond the technical compilation, the document provideskeysfor anticipation and responsewith a comprehensive approach:from geopolitical analysis and the evolution of the Ransomware-as-a-Service (RaaS) model, to the necessary capabilities to resist, We hope this report will help decision-makers better understandthe risk, identify relevant trends and strengthen their cyber Table of Contents 1. Strategic overview of ransomware6 1.1. Introduction: Ransomware as a structural threat1.2. Emerging risks in industrial environments1.3.Conclusion of the block61011 2. 2024 - The fall and rise of new groups12 3.1. Ransomware during 2025 first quarter3.2. Changes during April 20253.3. Countries with the highest number of victims3.4. Most affected sectors and Operational Technology (OT)43464752 5. Conclusions67 Strategicoverview ofransomware BLOCK 1 Introduction:Ransomware as a1.1 Ransomwarerepresents one of the mostserious and widespreadcyber threats of the digital age, affecting both individuals andorganisations of all sizes and sectors. This report, as in previous Indeed,geopolitical eventscan have a direct impact on the rise ofransomware attacks.Cyberattackshave become acommon toolof hybrid warfare, a continuation of conflict by other, less directmeans, in this case, cyber. Ransomware groups need not directly Ransomware-- a type of malware that prevents access tothe affected system’s data, usually by means of encryptionalgorithms. The actors behind this type of attack usually The sophistication of ransomware campaigns has evolveddramatically, no longer just random attacks, buttargetedoperationsusing advanced social engineering techniques,exploitation of unpatched vulnerabilities andlateral movementwithin corporate networks. As indicated in previous reports on the For example, theRussian group (APT44)has used ransomwarenot for ransom, but as a means to destroy data intargeted attacksagainst critical infrastructure in Ukraine and Poland, in supportof Russia’s war efforts3. In the case of North Korea, groups suchasMoonstone Sleethave deployed custom ransomware, suchas FakePenny, with the aim ofstealing sensitive informationand generating illicit revenues that fund state activities. It is These and other APT groups often haveample resources, timeand capabilitiesto carry out highly targeted and coordinatedattacks, leveraging their access tocritical infrastructureto In turn,ransomware groups- and more specifically thoseoperating under theRansomware as a Service (RaaS)model -have been able to learn from the malware available through publicsources or through information leaks from more advanced groups,to improve their offensive capabilities. All this, together with tools Ransomware as a Service- a model in which cybercriminalsrent ransomware to other actors in exchange for a share of theransom, or some other type of agreement between the parties The damage of a successful attack goes far beyond data leakage,it can involve thecomplete shutdown of critical operations, lossof revenue, reputational damageandpersonal data breaches.In addition, a trend already noted through previous reports is thatmodern variants not only encrypt files, but alsosteal informationbefore doing so, adding an additional layer of extortion: the threat Emerging risksin industrial1.2 Of particular concern areattacks affecting the industrialsector, andcritical infrastructurein particular. In recent years,ransomware attacks have evolved significantly from being threatsdirected exclusively at the IT environment to becoming a directand critical threat toOperational Technology (OT)environments. Despite the efforts of authorities and the cybersecurity communityto prevent and mitigate these attacks, ransomware also thrives ontheanonymity afforded by cryptocurrenciesand thedifficulty Conclusion of theblock1.3 Ransomwarecan no longer be addressed as a meretechnical problem, but has become astructural challengeof national security, organisational resilience andeconomic stability.Combating this threat requires a But, above all, it requires athorough understanding of itsevolution inorder to anticipate its next moves and contain The fall andrise of new BLOCK 2 Reconfiguringthe criminal2.1 Theransomw

点击免费查看完整报告

2025年勒索软件概览

Ransomware 2025 年概述：预见一个更安全的网络世界

战略概述

2024 年：新团体的兴衰

2025 年趋势

勒索软件的保护和应对

结论

你可能感兴趣

勒索软件流行态势分析（2025年8月）

Zscaler ThreatLabz 2025年勒索软件报告

2025年1月勒索软件流行态势分析

2025年勒索软件假日风险报告

2025年勒索软件报告：勒索软件 “战争” 如何威胁第三方网络生态

2025年勒索软件风险报告

勒索软件流行态势分析（2025年9月）

2025年勒索软件趋势和主动策略

2025年勒索软件流行态势报告

2025年3月勒索软件流行态势分析