2025年3月勒索软件流行态势分析

2025-04-09 10:10:38
我要分享


微信扫码分享

勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。

2025年3月，全球新增的双重勒索软件家族有Babuk2、Crazyhunter、Nightspire、Ralord、VanHelsing、Weyhro、Skira、Secp0、Arkana等。

其中Babuk2是Babuk勒索软件的后续变种，运营者对Babuk勒索家族进行了仿冒。主要针对VMware ESXi平台实施攻击，采用AES+RSA加密算法及双重勒索策略（加密文件并窃取数据），Babuk代码因在暗网部分泄露而增强了传播威胁。

CrazyHunter最早现身于2025年2月，其使用Prince家族泄露源码构建。利用污染的USB设备作为初始攻击载体。当前该家族攻击的10个目标全部为中国台湾企业，涉及教育、医疗、体育、科技等行业。

NightSpire攻击主要利用FortiOS漏洞（CVE-2024-55591）获取管理员权限进行初始访问，随后进行横向移动攻击。喜好对受害者进行施压，要求2天内支付并公开拒绝付款企业信息以削弱受害企业声誉。

RALord利用Python/Rust开发加密器，以RC4+PRGA算法加密文件（扩展名.RALord），重点攻击Fortinet、SonicWall、Cisco等企业设备，并偏好暴力破解与CVE漏洞利用；该组织以高分成比例吸引附属机构，提供工具链与暗网服务，疑似关联已关闭的RA World（曾用Go存储样本，与停运的FunkSec代码部分相似）。

VanHelsing勒索家族采用C++编写，支持 Windows、Linux、BSD、ARM、ESXi系统，具备跨平台威胁能力。运营方要求加盟者禁止攻击独联体国家，并通过区块链验证的5000美元保证金准入（优质攻击者可豁免）。加盟者分成80%，运营方抽取20%。

以下是本月值得关注的部分热点：

CISA称Medusa勒索软件攻击了300多个关键基础设施组织
EncryptHub利用Windows的0day漏洞部署勒索软件
勒索软件从网络摄像头对网络进行加密以绕过EDR

基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。

感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计：Weaxor家族占比35.97%居首位，第二的是RNTC占比22.30%的，Makop家族以15.51%位居第三。

其中：Weaxor家族最早出现于2024年11月，是Mallox家族的变种版本。该团伙重点攻击国内的用友NC、亿赛通、蓝凌、明源、智邦、灵当、致远OA、SQLServer等Web应用和数据库，针对部分机器投递CobaltStrike进行远程控制，针对部分机器投递勒索病毒。

自2025年1月起此家族持续霸榜Top1，赎金范围从8千到1.5万人民币间波动。

图1. 2025年3月勒索软件家族占比

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows 7以及Windows Server 2012。

图2. 2025年3月勒索软件入侵操作系统占比

2025年3月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌面PC大幅领先服务器，NAS平台以内网SMB共享加密为主。

图3. 2025年3月勒索软件入侵操作系统类型占比

勒索软件热点事件

CISA称Medusa勒索软件攻击了300多个关键基础设施组织

美国网络安全和基础设施安全局（CISA）表示，截至上个月，Medusa勒索软件攻击行动已影响到美国关键基础设施领域的300多家机构。这一情况是在CISA与美国联邦调查局（FBI）以及多州信息共享与分析中心（MS-ISAC）近日联合发布的一份公告中披露的。

CISA、FBI和MS-ISAC在3月11日发出警告称：“截至2025年2月，Medusa勒索软件的开发者及其关联方已影响到来自多个关键基础设施领域的300多个受害者，受影响的行业包括医疗、教育、法律、保险、科技和制造业。”……“FBI、CISA和MS-ISAC鼓励各机构实施本公告‘缓解措施’部分中的建议，以降低Medusa勒索软件事件发生的可能性并减轻其影响。”

正如公告所解释的，为防范Medusa勒索软件攻击，建议防御者采取以下措施：

l 修复已知的安全漏洞，确保操作系统、软件和固件在合理时间内完成补丁更新。

l 对网络进行分段，限制受感染设备与机构内其他设备之间的横向移动。

l 过滤网络流量，阻止来自未知或不可信源对内部系统远程服务的访问。

Medusa勒索软件大约在四年前，即2021年1月首次出现。但该犯罪团伙的活动直到两年后的2023年才开始增多。当时，他们推出了Medusa Blog数据泄露网站，以被盗数据为筹码施压受害者支付赎金。自出现以来，该团伙声称在全球有400多个受害者。2023年3月，在宣称对明尼阿波利斯公立学校区（MPS）发动攻击并分享被盗数据视频后，该团伙引起了媒体的关注。 2023年11月，丰田汽车公司旗下的丰田金融服务公司拒绝支付800万美元的赎金要求并通知客户数据泄露后，该团伙还在其暗网勒索门户上泄露了据称从该公司窃取的文件。

EncryptHub利用Windows的0day漏洞部署勒索软件

名为EncryptHub的攻击组织与利用本月修补的Microsoft管理控制台漏洞的Windows系统0day攻击有关。

研究人员发现，此安全功能绕过（CVE-2025-26633）存在于易受攻击设备上的MSC文件处理方式中。攻击者可以利用该漏洞来规避Windows文件信誉保护并执行代码，因为在未修补的设备上加载意外的MSC文件之前，用户不会收到警告。

研究人员在向Microsoft报告漏洞之前发现的攻击中，EncryptHub（也称为Water Gamayun或Larva-208）使用编号为CVE-2025-26633的0day漏洞来执行恶意代码并从受感染的系统中提取数据。在整个攻击活动中，攻击组织部署了多个与之前的EncryptHub攻击相关的恶意负载，包括EncryptHub窃取程序、DarkWisp后门、SilentPrism后门、Stealc、Rhadamanthys窃取程序和基于PowerShell的MSC EvilTwin木马加载程序。

此外，EncryptHub还会部署勒索软件载荷，其主要合作的勒索组织为RansomHub和BlackSuit。

值得一提的是，EncryptHub攻击组织在广泛进行各类攻击活动外，还以“SkorikARI”名义向微软提交漏洞（如CVE-2025-24071、CVE-2025-24061），并获得了微软官方致谢。

勒索软件从网络摄像头对网络进行加密以绕过EDR

有人发现Akira勒索软件团伙利用一台未受保护的网络摄像头对受害者的网络发动加密攻击，成功绕过了原本在Windows系统中阻止加密程序的端点检测与响应（EDR）系统。

值得注意的是，Akira团伙最初试图在Windows系统上部署加密程序，但被受害者的EDR解决方案拦截，之后才转而利用网络摄像头发动攻击。这些攻击者最初是通过目标公司暴露在外的远程访问解决方案进入企业网络的，很可能是利用了被盗的凭证或通过暴力破解密码得逞。进入网络后，他们部署了合法的远程访问工具“AnyDesk”，窃取了该公司的数据，用于实施双重勒索攻击。接着，Akira团伙使用远程桌面协议（RDP）进行横向移动，在部署勒索软件有效负载之前，尽可能地将其控制范围扩展到更多系统。最终，攻击者投放了一个受密码保护的ZIP文件（win.zip ），其中包含勒索软件有效载荷（win.exe），但受害者的EDR工具检测到并隔离了该文件，基本上阻止了这次攻击。

此次攻击失败后，Akira团伙开始探寻其他攻击途径，他们对网络进行扫描，寻找可用于加密文件的其他设备，结果发现了一台网络摄像头和指纹扫描仪。攻击者选择网络摄像头是因为它容易受到远程shell访问攻击，并且其视频流可以被未经授权查看。此外，该摄像头运行的是基于Linux的操作系统，与Akira的Linux加密程序兼容，而且它没有安装EDR代理，因此是远程加密网络共享文件的理想设备。

安全分析团队证实，攻击者利用网络摄像头的Linux操作系统挂载了该公司其他设备的Windows SMB网络共享。然后，他们在网络摄像头上启动了Linux加密程序，并通过SMB协议对网络共享进行加密，成功绕过了网络上的EDR软件。

这个案例表明，EDR防护并非万能的安全解决方案，企业不应仅仅依赖它来防范攻击。此外，物联网设备不像计算机那样受到密切监控和维护，但仍然构成重大风险。因此，这类设备应与生产服务器和工作站等更为敏感的网络隔离开来。同样重要的是，所有设备（包括物联网设备）都应定期更新固件以修复可能在攻击中被利用的已知漏洞。

黑客信息披露

以下是本月收集到的黑客邮箱信息：