2025年6月勒索软件流行态势分析

2025-07-09 11:09:18
我要分享


微信扫码分享

勒索软件传播至今，360反勒索服务已累计收到数万次勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄漏风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现，勒索软件对企业和个人的影响和危害也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。

2025年6月，全球新增的双重勒索软件有WarLock、Kawa4096、TeamXXX等多个家族，传统勒索软件新增UraLocker、SafeLocker等家族。

本月360反勒索服务团队接到大量Weaxor勒索家族的反馈，经技术人员分析排查发现该家族勒索软件主要是利用企业OA系统漏洞进入到内部网络的。我们也针对性的发布了相关分析报告和解决方案。

以下是本月值得关注的部分热点：

Anubis勒索软件添加了擦除器来阻止文件恢复

Krispy Kreme表示，去年11月的数据泄露影响了超过16万人

迈凯伦医保表示，数据泄露影响了74.3万名患者

基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。

感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计：Weaxor家族占比52.24%居首位，第二的是RNTC、占比11.94%，BeijingCrypt家族以7.46%的占比位居第三。

图1. 2025年6月勒索软件家族占比

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows Server 2008以及Windows 7。

图2. 2025年6月勒索软件入侵操作系统占比

2025年6月被感染的操作系统占比显示，受攻击的系统类型中，桌面PC系统大幅领先服务器系统。

图3. 2025年6月勒索软件入侵操作系统类型占比

勒索软件热点事件

Anubis勒索软件添加了擦除器来阻止文件恢复

近期，我们发现Anubis勒索软件在文件加密工具中，添加了一个擦除器模块。该模块会销毁目标文件，即使支付了赎金也无法恢复。目前，Anubis在暗网上的勒索页面只列出了8名受害者。

6月13日，一份安全研究机构的报告显示，Anubis团伙在代码中添加了一些新功能，其中也包含了文件擦除功能。研究人员通过分析最新Anubis样本，发现了擦除器功能，认为该功能是为了让受害者在压力之下付款。其代码会识别命令行参数“/WIPEMODE”激活破坏性行为，该参数需要发出基于密钥的身份验证。激活后，擦除器会擦除所有文件内容，将其大小减小到0KB，同时保持文件名和结构不变。受害者仍能看到预期目录中的所有文件，但其内容已销毁且无法恢复。

相关机构的分析显示，Anubis在启动时支持多个命令，包括用于权限提升、目录排除和目标路径加密的命令。默认情况下，重要的system和program目录被排除在外，以避免导致系统完全不可用。勒索软件还会删除卷影副本，并终止可能干扰加密过程的进程和服务。

该勒索软件加密代码使用了ECIES算法，并在加密文件后附加“.anubis”扩展名。完成加密后，在加密目录中放置了HTML赎金记录，并且尝试更改桌面壁纸。

Krispy Kreme表示，去年11月的数据泄露影响了超过16万人

美国甜甜圈连锁店Krispy Kreme证实，攻击者在2024年11月的一次网络攻击中，窃取了超过16万人的个人信息。

Krispy Kreme透露，在今年6月下旬提交缅因州总检察长办公室的一份文件中，其在去年11月遭遇的数据泄露已影响161676人。虽然该公司没有透露事件中暴露了哪些数据，但提交马萨诸塞州总检察长的另一份文件显示，被盗文件包含受影响个人的社会安全号码、金融账户信息和驾驶执照信息。

Krispy Kreme于2024年11月29日在其IT系统上检测到未经授权的活动，并在12月11日提交美国证券交易委员会的文件中，披露了该事件及其在线订购中断的情况。该公司还采取措施遏制漏洞，并聘请了外部网络安全专家来评估攻击对其运营的全面影响。

虽然Krispy Kreme始终尚未公布有关11月数据泄露事件的更多细节，但Play勒索软件团伙在去年12月下旬声称对此次攻击负责，称他们还从该公司网络中窃取了数据。

Play勒索软件声称，其窃取到的文件包含：

l 个人机密数据

l 客户文件

l 预算

l 工资单

l 会计账单

l 合同

l 税务缴纳ID

l 财务信息

最终，Play勒索软件团伙在与该公司谈判失败后，于12月21日在其暗网泄露网站上发布了多个档案，其中包含数百GB文件。

迈凯伦医保表示数据泄露影响了74.3万名患者

迈凯伦医保组织警告74.3万名患者，2024年7月发生的INC勒索软件攻击，导致其卫生系统发生数据泄露。虽然攻击是在2024年8月5日被发现的，但确定攻击影响的司法调查直到2025年5月5日才完成，相关通知直到6月20日才发布。

2024年8月初，迈凯伦医保组织遭遇IT和电话系统中断，促使其进行调查。据报道，患者数据库受到影响，人们在访问迈凯伦医院时，被要求携带有关预约和药物的信息。尽管该组织没有具体说明攻击者情况，但迈凯伦位于密歇根州贝城的一家医院的一名员工在网上发布了INC的勒索信息，这些勒索信息会通过医院的打印机自动打印。

在发送给受影响个人的通知中，迈凯伦医保组织承认该事件涉及勒索软件攻击，但仍未提及INC。本次调查确认，攻击者在2024年7月17日至2024年8月3日期间，拥有迈凯伦和Karmanos系统的访问权限。

在提交给美国当局的迈凯伦数据泄露样本中确认患者姓名信息已泄露，并增加了其他已泄露的数据类型。因此，数据泄露的整体情况仍不清楚。

黑客信息披露

以下是本月收集到的黑客邮箱信息：

表1. 黑客邮箱

当前，通过双重勒索或多重勒索模式获利的勒索软件家族越来越多，勒索软件也让数据泄露风险越来越大。以下是本月通过数据泄露获利的勒索软件家族占比，该数据仅包含未第一时间缴纳赎金或拒缴纳赎金的部分企业或个人（已经支付赎金的企业或个人，可能不会出现在这个清单中）。

图4. 2025年6月通过数据泄露获利的勒索软件家族占比

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现数据存在泄漏风险的企业或个人，也请第一时间自查，做好数据已泄露的准备，采取补救措施。

本月总共有478个组织/企业遭遇双重勒索/多重勒索攻击，其中，中国6个组织/企业遭受双重勒索/多重勒索，另有8个组织/企业未被标明，因此不在以下表格中。

表2. 受害组织/企业

系统安全防护数据分析

360系统安全产品目前已加入黑客入侵防护功能，在本月被攻击的系统版本中，排行前三的依次为Windows Server 2008、Windows 7以及Windows 10。

图5 2025年6月受攻击系统占比

对2025年6月被攻击系统所属地域统计发现，与之前几个月采集到的数据相比，地区排名和占比变化均不大。数字经济发达地区仍是被攻击的主要对象。

图6. 2025年6月国内受攻击地区占比排名

通过观察2025年6月弱口令攻击态势发现，RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

图7. 2025年6月监控到的RDP入侵量

图8. 2025年6月监控到的MS SQL入侵量

图9. 2025年6月监控到的MYSQL入侵量

勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计，数据来自360勒索软件搜索引擎。

² wxx：属于Weaxor勒索软件家族，该家族目前的主要传播方式为：利用各类软件漏洞进行投毒，以及通过暴力破解远程桌面口令，成功后手动投毒。

² baxia：属于BeijingCrypt勒索软件家族，由于被加密文件后缀会被修改为beijing而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令与数据库弱口令成功后手动投毒。

² wstop： RNTC勒索软件家族，该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒，同时通过smb共享方式加密其他设备。

² bixi：同baxia。

² kalxat：属于Kalxat勒索软件家族，由于被加密文件后缀会被修改为kalxat而成为关键词。该家族主要的传播方式为：通过暴力破解或注入数据库成功后手动投毒。

² weaxor：同wxx。

² mallox：属于TargetCompany(Mallox)勒索软件家族，由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播，后增加利用漏洞的传播方式。此外,360安全大脑监控到该家族曾通过匿影僵尸网络进行传播。

² mkp: 属于Makop勒索软件家族，由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

² peng：属于phobos家族，使用Rust语言进行编译的版本，目前仅在国内传播。该家族的主要传播方式为：通过暴力破解远程桌面口令，成功后手动投毒。

² backups：属于LockBit家族，以泄露的LockBit构建器代码创建。该家族的主要传播方式为：通过暴力破解远程桌面口令与数据库口令，成功后手动投毒。

图10 2025年6月反病毒搜索引擎关键词搜索排名

解密大师

从解密大师本月解密数据看，解密量最大的是FreeFix,其次是GandCrab。使用解密大师解密文件的用户数量,最高的是被Crysis家族加密的设备。

2025年6月勒索软件流行态势分析

热点排行

关注我们