2025年3月勒索軟件流行態勢分析

2025-04-09 10:10:38
我要分享


微信掃碼分享

勒索軟件傳播至今，360反勒索服務已累計接收到數萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業數據泄露風險不斷上升，勒索金額在數百萬到近億美元的勒索案件不斷出現。勒索軟件給企業和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網安全大腦針對勒索軟件進行了全方位的監測與防御，為需要幫助的用戶提供360反勒索服務。

2025年3月，全球新增的雙重勒索軟件家族有Babuk2、Crazyhunter、Nightspire、Ralord、VanHelsing、Weyhro、Skira、Secp0、Arkana等。

其中Babuk2是Babuk勒索軟件的后續變種，運營者對Babuk勒索家族進行了仿冒。主要針對VMware ESXi平臺實施攻擊，采用AES+RSA加密算法及雙重勒索策略（加密文件并竊取數據），Babuk代碼因在暗網部分泄露而增強了傳播威脅。

CrazyHunter最早現身于2025年2月，其使用Prince家族泄露源碼構建。利用污染的USB設備作為初始攻擊載體。當前該家族攻擊的10個目標全部為中國臺灣企業，涉及教育、醫療、體育、科技等行業。

NightSpire攻擊主要利用FortiOS漏洞（CVE-2024-55591）獲取管理員權限進行初始訪問，隨后進行橫向移動攻擊。喜好對受害者進行施壓，要求2天內支付并公開拒絕付款企業信息以削弱受害企業聲譽。

RALord利用Python/Rust開發加密器，以RC4+PRGA算法加密文件（擴展名.RALord），重點攻擊Fortinet、SonicWall、Cisco等企業設備，并偏好暴力破解與CVE漏洞利用；該組織以高分成比例吸引附屬機構，提供工具鏈與暗網服務，疑似關聯已關閉的RA World（曾用Go存儲樣本，與停運的FunkSec代碼部分相似）。

VanHelsing勒索家族采用C++編寫，支持 Windows、Linux、BSD、ARM、ESXi系統，具備跨平臺威脅能力。運營方要求加盟者禁止攻擊獨聯體國家，并通過區塊鏈驗證的5000美元保證金準入（優質攻擊者可豁免）。加盟者分成80%，運營方抽取20%。

以下是本月值得關注的部分熱點：

CISA稱Medusa勒索軟件攻擊了300多個關鍵基礎設施組織
EncryptHub利用Windows的0day漏洞部署勒索軟件
勒索軟件從網絡攝像頭對網絡進行加密以繞過EDR

基于對360反勒索服務數據的分析研判，360數字安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應對工作組成員）發布本報告。

感染數據分析

針對本月勒索軟件受害者設備所中病毒家族進行統計：Weaxor家族占比35.97%居首位，第二的是RNTC占比22.30%的，Makop家族以15.51%位居第三。

其中：Weaxor家族最早出現于2024年11月，是Mallox家族的變種版本。該團伙重點攻擊國內的用友NC、億賽通、藍凌、明源、智邦、靈當、致遠OA、SQLServer等Web應用和數據庫，針對部分機器投遞CobaltStrike進行遠程控制，針對部分機器投遞勒索病毒。

自2025年1月起此家族持續霸榜Top1，贖金范圍從8千到1.5萬人民幣間波動。

圖1. 2025年3月勒索軟件家族占比

對本月受害者所使用的操作系統進行統計，位居前三的是：Windows 10、Windows 7以及Windows Server 2012。

圖2. 2025年3月勒索軟件入侵操作系統占比

2025年3月被感染的系統中桌面系統和服務器系統占比顯示，受攻擊的系統類型桌面PC大幅領先服務器，NAS平臺以內網SMB共享加密為主。

圖3. 2025年3月勒索軟件入侵操作系統類型占比?

勒索軟件熱點事件

CISA稱Medusa勒索軟件攻擊了300多個關鍵基礎設施組織

美國網絡安全和基礎設施安全局（CISA）表示，截至上個月，Medusa勒索軟件攻擊行動已影響到美國關鍵基礎設施領域的300多家機構。這一情況是在CISA與美國聯邦調查局（FBI）以及多州信息共享與分析中心（MS-ISAC）近日聯合發布的一份公告中披露的。

CISA、FBI和MS-ISAC在3月11日發出警告稱：“截至2025年2月，Medusa勒索軟件的開發者及其關聯方已影響到來自多個關鍵基礎設施領域的300多個受害者，受影響的行業包括醫療、教育、法律、保險、科技和制造業。”……“FBI、CISA和MS-ISAC鼓勵各機構實施本公告‘緩解措施’部分中的建議，以降低Medusa勒索軟件事件發生的可能性并減輕其影響。”

正如公告所解釋的，為防范Medusa勒索軟件攻擊，建議防御者采取以下措施：

l? 修復已知的安全漏洞，確保操作系統、軟件和固件在合理時間內完成補丁更新。

l? 對網絡進行分段，限制受感染設備與機構內其他設備之間的橫向移動。

l? 過濾網絡流量，阻止來自未知或不可信源對內部系統遠程服務的訪問。

Medusa勒索軟件大約在四年前，即2021年1月首次出現。但該犯罪團伙的活動直到兩年后的2023年才開始增多。當時，他們推出了Medusa Blog數據泄露網站，以被盜數據為籌碼施壓受害者支付贖金。自出現以來，該團伙聲稱在全球有400多個受害者。2023年3月，在宣稱對明尼阿波利斯公立學校區（MPS）發動攻擊并分享被盜數據視頻后，該團伙引起了媒體的關注。 2023年11月，豐田汽車公司旗下的豐田金融服務公司拒絕支付800萬美元的贖金要求并通知客戶數據泄露后，該團伙還在其暗網勒索門戶上泄露了據稱從該公司竊取的文件。

EncryptHub利用Windows的0day漏洞部署勒索軟件

名為EncryptHub的攻擊組織與利用本月修補的Microsoft管理控制臺漏洞的Windows系統0day攻擊有關。

研究人員發現，此安全功能繞過（CVE-2025-26633）存在于易受攻擊設備上的MSC文件處理方式中。攻擊者可以利用該漏洞來規避Windows文件信譽保護并執行代碼，因為在未修補的設備上加載意外的MSC文件之前，用戶不會收到警告。

研究人員在向Microsoft報告漏洞之前發現的攻擊中，EncryptHub（也稱為Water Gamayun或Larva-208）使用編號為CVE-2025-26633的0day漏洞來執行惡意代碼并從受感染的系統中提取數據。在整個攻擊活動中，攻擊組織部署了多個與之前的EncryptHub攻擊相關的惡意負載，包括EncryptHub竊取程序、DarkWisp后門、SilentPrism后門、Stealc、Rhadamanthys竊取程序和基于PowerShell的MSC EvilTwin木馬加載程序。

此外，EncryptHub還會部署勒索軟件載荷，其主要合作的勒索組織為RansomHub和BlackSuit。

值得一提的是，EncryptHub攻擊組織在廣泛進行各類攻擊活動外，還以“SkorikARI”名義向微軟提交漏洞（如CVE-2025-24071、CVE-2025-24061），并獲得了微軟官方致謝。

勒索軟件從網絡攝像頭對網絡進行加密以繞過EDR

有人發現Akira勒索軟件團伙利用一臺未受保護的網絡攝像頭對受害者的網絡發動加密攻擊，成功繞過了原本在Windows系統中阻止加密程序的端點檢測與響應（EDR）系統。

值得注意的是，Akira團伙最初試圖在Windows系統上部署加密程序，但被受害者的EDR解決方案攔截，之后才轉而利用網絡攝像頭發動攻擊。這些攻擊者最初是通過目標公司暴露在外的遠程訪問解決方案進入企業網絡的，很可能是利用了被盜的憑證或通過暴力破解密碼得逞。進入網絡后，他們部署了合法的遠程訪問工具“AnyDesk”，竊取了該公司的數據，用于實施雙重勒索攻擊。接著，Akira團伙使用遠程桌面協議（RDP）進行橫向移動，在部署勒索軟件有效負載之前，盡可能地將其控制范圍擴展到更多系統。最終，攻擊者投放了一個受密碼保護的ZIP文件（win.zip ），其中包含勒索軟件有效載荷（win.exe），但受害者的EDR工具檢測到并隔離了該文件，基本上阻止了這次攻擊。

此次攻擊失敗后，Akira團伙開始探尋其他攻擊途徑，他們對網絡進行掃描，尋找可用于加密文件的其他設備，結果發現了一臺網絡攝像頭和指紋掃描儀。攻擊者選擇網絡攝像頭是因為它容易受到遠程shell訪問攻擊，并且其視頻流可以被未經授權查看。此外，該攝像頭運行的是基于Linux的操作系統，與Akira的Linux加密程序兼容，而且它沒有安裝EDR代理，因此是遠程加密網絡共享文件的理想設備。

安全分析團隊證實，攻擊者利用網絡攝像頭的Linux操作系統掛載了該公司其他設備的Windows SMB網絡共享。然后，他們在網絡攝像頭上啟動了Linux加密程序，并通過SMB協議對網絡共享進行加密，成功繞過了網絡上的EDR軟件。

這個案例表明，EDR防護并非萬能的安全解決方案，企業不應僅僅依賴它來防范攻擊。此外，物聯網設備不像計算機那樣受到密切監控和維護，但仍然構成重大風險。因此，這類設備應與生產服務器和工作站等更為敏感的網絡隔離開來。同樣重要的是，所有設備（包括物聯網設備）都應定期更新固件以修復可能在攻擊中被利用的已知漏洞。

黑客信息披露

以下是本月收集到的黑客郵箱信息：