中文版 Global
首页 > 安全资讯 > 正文

2025年10月勒索软件流行态势分析

  • 2025-11-05 21:01:20

勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄漏风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。

2025年10月,全球新增的双重勒索软件Tengu、KyberGenesis、Brotherhood、Radiant、Nasirsecurity等多个家族,传统勒索软件家族新增MonkeyThunderKittyBrawLocker等多个家族。其中Monkey家族有明显的AI生成痕迹,在其Linux版本的样本中存在删除Windows卷影副本的代码。BrawLocker则使用Powershell脚本通过投毒者手动输入密钥加密Braw后缀的文件,此类文件Blackmagic Design的Blackmagic RAW原始视频格式,用来保存摄像机传感器的原始影像数据和元数据,以便在后期进行高动态范围调色与处理。

加密后缀为spmodvf的勒索软件已经在国内持续传播数月,在本月冲入TOP榜单。遗憾的是该勒索软件受害者数月来无一例配合进行溯源分析,而是第一时间选择重装或重置系统。从运维人员反馈看,该家族勒索软件的受害者多集中在医疗行业。根据111日起开始实施的《国家网络安全事件报告管理办法》相关规定,对于此类网络安全事件的报告已成为法定义务。在国家对网络安全的日益重视,以及相关法律法规日趋完善的背景下,我们相信今后对此类勒索攻击事件的溯源工作可以开展得更加顺利。

以下是本月值得关注的部分热点:

美国航空子公司Envoy Air遭Oracle数据窃取攻击

零售巨头无印良品因供应商遭勒索攻击而停止在线销售

Qilin勒索软件在Windows中利用WSL来运行Linux加密器

基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心CCTGA勒索软件防范应对工作组成员)发布本报告。

感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计:Weaxor家族占比38.06%居首位,第二的Wmansvcs占比21.64%LockBit家族以8.96%占比位居第三。

 

图1. 2025年10月勒索软件家族占比

对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2012以及Windows Server 2008。

 

图2. 2025年10月勒索软件入侵操作系统占比

2025年10月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型服务器小幅领先桌面PC。

 

图3. 2025年10月勒索软件入侵操作系统类型占比

勒索软件热点事件

美国航空子公司Envoy Air遭Oracle数据窃取攻击

美国航空子公司Envoy Air确认遭Oracle数据窃取攻击。根据报道,Cl0p勒索软件团伙通过Oracle E-Business Suite应用程序窃取了Envoy Air的部分商业信息和联系方式,并将美国航空列入其数据泄露网站。尽管Envoy Air表示未发现敏感或客户数据被泄露,但该事件仍然引起了广泛关注。

此次安全事件源自Cl0p团伙对Oracle E-Business Suite系统的攻击。早在2024年8月,Cl0p就利用一个零日漏洞(CVE-2025-61882)侵入多个组织,部署恶意软件并窃取数据。尽管Oracle曾表示攻击者利用的漏洞已在7月修复,但后续情况表明,攻击者利用了这一未修补的零日漏洞。Cl0p团伙并未披露受影响的具体公司数量,但据了解,至少有数十家组织遭数据窃取

此外,Cl0p团伙还在同一波攻击中向哈佛大学施压,即便只有少数与该校某小型行政单元相关的人员受到影响。Cl0p此前已在2023年通过多个漏洞攻击多个平台,如MOVEit Transfer和GoAnywhere MFT,导致全球上千家公司的数据遭窃。

Cl0p自2019年起开始活跃,最初以加密勒索为主,之后转向利用零日漏洞窃取数据,已成为全球最知名的勒索软件团伙之一。美国国务院目前提供1000万美元奖励,寻求与该团伙活动相关的外国政府信息。

零售巨头无印良品因供应商遭勒索攻击而停止在线销售

近日,日本零售公司无印良品因其配送合作伙伴Askul遭遇勒索软件攻击,导致无印良品的在线商店服务暂停。此次事件影响了包括在线购物、订单历史查看和网页内容显示等多个服务功能。无印良品在日本时间周日晚间宣布暂停相关服务,并在周一下午的更新内容中表示,除在线购买和申请月度服务外,其他功能已恢复。公司目前正在调查哪些订单受到影响,并计划通过邮件通知受影响的客户。

Askul,作为一个主要处理办公用品及物流业务的电商平台,确认遭遇勒索病毒攻击,导致其网站和订单处理系统瘫痪。这次攻击造成了多个业务中断,包括退货申请、收据邮寄、目录邮寄等服务暂停。同时,通过电话或网站也无法联系Askul客服。Askul正在调查是否有个人信息泄露,截至目前,尚未有勒索软件团伙宣布对此次攻击负责。

Askul专门处理无印良品在日本地区的订单次攻击事件仅影响无印良品在日本的业务,无印良品在其他国家的门店运营正常,没有受到此次攻击影响。

Qilin勒索软件在Windows中利用WSL来运行Linux加密器

Qilin勒索软件利用Windows Subsystem for Linux (WSL) 技术,绕过传统的安全防护,成功在Windows系统上运行Linux加密程序,成为当前最活跃的勒索软件之一。Qilin最初以“Agenda”之名于2022年8月出现,随后于9月改名为Qilin。到2025年下半年,该勒索软件每月攻击超过40个新受害者,覆盖62个国家,影响极广。

Qilin的攻击手段主要包括使用远程访问工具(如AnyDesk、ScreenConnect和Splashtop)入侵目标网络,窃取凭证和数据。同时,攻击者还利用Windows自带工具(如Microsoft Paint和Notepad)来扫描文档中的敏感信息。此外,Qilin勒索软件还采用了“BYOVD”(自带漏洞驱动)攻击技术,通过安装漏洞驱动程序(如eskle.sys)禁用安全软件,并使用“dark-kill”和“HRSword”工具清除恶意活动痕迹。

最具创新性的是,Qilin攻击者通过WSL在Windows系统上执行Linux加密程序。由于Qilin的加密程序是ELF格式的Linux可执行文件,无法直接在Windows系统上运行,因此攻击者利用WSL功能,在Windows 境中运行这些程序,成功规避了许多传统Windows安全工具的检测。这种方法显示了勒索软件家族如何适应混合Windows和Linux环境,进一步增强其攻击能力。

通过这种方法,Qilin勒索软件能够最大化提升其攻击范围,并绕过许多依赖于Windows操作系统行为的防御机制,使得检测和防范变得更加困难。

黑客信息披露

以下是本月收集到的黑客邮箱信息:

表1. 黑客邮箱

当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。

 

图4. 2025年10月通过数据泄露获利的勒索软件家族占比

以下是本月被双重勒索软件家族攻击的企业或个人。未发现数据存在泄漏风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。

本月总共有781个组织/企业遭遇双重勒索/多重勒索攻击,其中包含中国7个组织/企业在本月遭遇了双重勒索/多重勒索。其中有14个组织/企业未被标明,因此不在以下表格中。

表2. 受害组织/企业

系统安全防护数据分析

360系统安全产品,具有黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008、Windows 7以及Windows 10。

 

图5 2025年10月受攻击系统占比

2025年10月被攻击系统所属地域统计发现,与前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

 

图6. 2025年10月国内受攻击地区占比排名

通过观察2025年10月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

 

图7. 2025年10月监控到的RDP入侵量

 

图8. 2025年10月监控到的MS SQL入侵量

 

图9. 2025年10月监控到的MYSQL入侵量

勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。

²wax:属于Weaxor勒索软件家族,该家族目前的主要传播方式为:利用各类软件漏洞利用方式进行投毒,通过powershell加载攻击载荷并注入系统进程多轮加载不同的漏洞驱动与安全软件进行内核对抗。部分版本会通过暴力破解登录数据库后植入Anydesk远控进行手动投毒。

²weax:同wax。

²roxaew:同wax。

²888:属于Nemesis2024家族,以勒索信中的Nemesis家族字段命名。该家族的主要传播方式为:通过暴力破解远程桌面口令与数据库口令,成功后手动投毒。

²peng:属于Wmansvcs家族,高度模仿phobos家族并使用Rust语言编译,目前仅在国内传播。该家族的主要传播方式为:通过暴力破解远程桌面口令,成功后手动投毒。

²bixi:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为beijing而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令与数据库弱口令成功后手动投毒。

²spmodvf:目前此扩展名反馈的用户均未提供溯源信息,暂未研判家族归属与攻击方式。

²mallox:属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播,后来增加了漏洞利用的传播方式。此外360安全大脑监控到该家族曾通过匿影僵尸网络进行传播。

²beast:属于Beast勒索软件家族,该家族的传播方式多样,具备暴力破解、漏洞利用、共享加密等多种攻击方式,同时具备跨平台加密能力。

²mkp:属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

 

图10 2025年10月反病毒搜索引擎关键词搜索排名

解密大师

从解密大师本月解密数据看,解密量最大的是Phobos其次是Crysis。使用解密大师解密文件的用户数量最的是被Crysis家族加密的设备。

 

图11. 2025年10月解密大师解密文件数及设备数排名

360安全卫士

热点排行

用户
反馈 返回
顶部