2025年5月勒索軟件流行態(tài)勢(shì)分析

勒索軟件傳播至今，360反勒索服務(wù)已累計(jì)接收到數(shù)萬(wàn)次勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄漏風(fēng)險(xiǎn)不斷上升，勒索金額在數(shù)百萬(wàn)到上億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個(gè)人帶來(lái)的影響范圍越來(lái)越廣，危害也越來(lái)越大。360全網(wǎng)安全大腦針對(duì)勒索軟件進(jìn)行了全方位監(jiān)測(cè)與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2025年5月，全球新增的雙重勒索軟件有J、Datacarry、Worldleaks等多個(gè)新增家族。傳統(tǒng)勒索軟件家族新增Bert、Kalxat家族。

本月360反勒索服務(wù)團(tuán)隊(duì)接到數(shù)起關(guān)于Kalxat勒索軟件攻擊的反饋。經(jīng)分析發(fā)現(xiàn)，這種新型勒索軟件擁有非常高效的文件加密機(jī)制，并可以多級(jí)動(dòng)態(tài)調(diào)整加密策略，具備大量配置與擴(kuò)展屬性，屬于新一代的先進(jìn)勒索軟件。根據(jù)受害者反饋，Kalxat會(huì)在系統(tǒng)中悄然加密各類文件，并將其擴(kuò)展名修改為“.kalxat”，同時(shí)留下勒索信息，要求支付贖金以獲取解密工具。

在入侵傳播方面，Kalxat則表現(xiàn)出了明顯的定向攻擊特征。該勒索軟件主要針對(duì)Windows服務(wù)器發(fā)起攻擊。其加密策略也是針對(duì)服務(wù)器上的關(guān)鍵數(shù)據(jù)——如數(shù)據(jù)庫(kù)文件，進(jìn)行完整的全量加密。而對(duì)于其他非關(guān)鍵文件，其采用部分加密策略，以加快整體加密速度。此外，該勒索軟件還會(huì)執(zhí)行一系列系統(tǒng)操作，包括大量修改注冊(cè)表項(xiàng)、禁用Windows Defender、清除系統(tǒng)事件日志和安全日志等，以規(guī)避安全檢測(cè)并確保攻擊成功。

Kalxat采用了高度模塊化設(shè)計(jì)：勒索信內(nèi)容、加密文件擴(kuò)展名、RSA公鑰等關(guān)鍵參數(shù)，均通過(guò)獨(dú)立的配置文件進(jìn)行配置。這也使攻擊者可以輕松地為不同目標(biāo)定制不同版本進(jìn)行攻擊，同時(shí)也增加了安全研究人員的分析難度。這種設(shè)計(jì)使得Kalxat具有較強(qiáng)的變種生成能力，各個(gè)攻擊實(shí)例可能展現(xiàn)出不同的行為特征，并且采用了雙重RSA架構(gòu)。這些操作表明，Kalxat是一款精心設(shè)計(jì)的、針對(duì)企業(yè)服務(wù)器環(huán)境的高級(jí)勒索軟件。

以下是本月值得關(guān)注的部分熱點(diǎn)：

VanHelsing勒索軟件生成器在黑客論壇上泄露

員工監(jiān)控軟件Kickidler在勒索攻擊中被利用

勒索軟件團(tuán)伙越來(lái)越多地利用Skitnet投放惡意軟件

基于對(duì)360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級(jí)威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）發(fā)布本報(bào)告。

感染數(shù)據(jù)分析

針對(duì)本月勒索軟件受害者設(shè)備所中病毒家族進(jìn)行統(tǒng)計(jì)：Weaxor家族占比28.27%居首位，第二的是RNTC占比16.23%，BeijingCrypt家族以10.47%占比位居第三。

?

圖1. 2025年5月勒索軟件家族占比

對(duì)本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows 10、Windows Server 2012以及Windows 11。

?

圖2. 2025年5月勒索軟件入侵操作系統(tǒng)占比

2025年5月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型桌面PC大幅領(lǐng)先服務(wù)器。

?

圖3. 2025年5月勒索軟件入侵操作系統(tǒng)類型占比

勒索軟件熱點(diǎn)事件

VanHelsing勒索軟件生成器在黑客論壇上泄露

2025年5月20日，一個(gè)別名為“th30c0der”的用戶在RAMP論壇上提出以10,000美元的價(jià)格出售VanHelsing的源代碼，并公布了對(duì)“TOR 密鑰+管理員的Web面板+聊天+文件服務(wù)器+博客包括數(shù)據(jù)庫(kù)所有內(nèi)容”的全面訪問(wèn)權(quán)限。該賣家還詳細(xì)介紹了勒索軟件的多平臺(tái)功能，聲稱可以針對(duì)Windows、Linux、NAS系統(tǒng)以及2.0到8.0版的ESXi環(huán)境進(jìn)行勒索。

作為回應(yīng)，VanHelsing官方運(yùn)營(yíng)商發(fā)布了部分源代碼，聲稱th30c0der是“開(kāi)發(fā)團(tuán)隊(duì)的老成員，他試圖通過(guò)出售舊代碼來(lái)欺騙人們”。

泄露代碼的真實(shí)性已被驗(yàn)證，其中包括Windows加密程序和管理工具的組件。此事件加入了越來(lái)越多的勒索軟件源代碼泄露清單，這些泄漏有可能擴(kuò)大網(wǎng)絡(luò)攻擊影響。

而有安全研究人員表示，泄露的存檔包含真實(shí)但雜亂無(wú)章的代碼，Visual Studio項(xiàng)目文件錯(cuò)誤地放置在通常為編譯后的二進(jìn)制文件保留的“Release”文件夾中。其Windows加密程序構(gòu)建器連接到IP地址為31.222.238的附屬面板。208用于構(gòu)建數(shù)據(jù)，從而為潛在用戶造成技術(shù)障礙。

代碼中的另一個(gè)重要發(fā)現(xiàn)，揭示了Van Helsing為有效負(fù)載分配生成臨時(shí)路徑的能力。這顯示了惡意軟件如何使用PsExec設(shè)置橫向移動(dòng)功能。

員工監(jiān)控軟件Kickidler在勒索攻擊中被利用

勒索軟件正在使用合法的Kickidler員工監(jiān)控軟件進(jìn)行偵察，跟蹤受害者的活動(dòng)，并在破壞其網(wǎng)絡(luò)后收集憑據(jù)。

近期，有網(wǎng)絡(luò)安全公司發(fā)現(xiàn)Qilin和Hunters International勒索軟件下屬組織安裝了Kickidler，這是一種員工監(jiān)控工具，可以捕獲擊鍵、截取屏幕截圖并創(chuàng)建屏幕視頻。攻擊始于攻擊者在用戶搜索RVTools時(shí)投放了Google廣告。受害者一旦點(diǎn)擊了此類廣告，便會(huì)訪問(wèn)一個(gè)虛假的RVTools網(wǎng)站，最終下載一個(gè)偽裝成正常程序的釣魚(yú)木馬程序。受害者下載的這個(gè)惡意軟件加載程序，可下載并運(yùn)行SMOKEDHAM PowerShell的.NET后門，最終在受害設(shè)備上部署Kickidler。

此類攻擊針對(duì)的是企業(yè)管理員，他們的賬戶通常會(huì)在被入侵后，為攻擊者提供特權(quán)憑證，安全人員分析認(rèn)為攻擊者可能已經(jīng)保持了對(duì)受害者系統(tǒng)的訪問(wèn)權(quán)限數(shù)天甚至數(shù)周，以收集訪問(wèn)異地云備份所需的憑證而不被發(fā)現(xiàn)。此外，安全人員還發(fā)現(xiàn)Hunters International使用的部署腳本利用了VMware PowerCLI和WinSCP Automation來(lái)啟用系統(tǒng)中的SSH服務(wù)，便于部署勒索軟件并在ESXi服務(wù)器上執(zhí)行。

雖然員工監(jiān)控軟件不是勒索軟件團(tuán)伙的首選工具，但他們多年來(lái)一直濫用合法的遠(yuǎn)程監(jiān)控和管理軟件。最近，有人發(fā)現(xiàn)攻擊者以易受攻擊的SimpleHelp RMM客戶端為目標(biāo)，創(chuàng)建管理員賬戶、安裝后門，并可能為Akira勒索軟件攻擊鋪路。

勒索軟件團(tuán)伙越來(lái)越多地利用Skitnet投放惡意軟件

一些勒索軟件攻擊者正在使用一款名為Skitnet的惡意軟件作為工具來(lái)竊取敏感數(shù)據(jù)，并建立對(duì)受感染主機(jī)的遠(yuǎn)程控制。

據(jù)安全公司分析，Skitnet也稱為Bossnet，是一種多階段惡意軟件。該惡意工具的一個(gè)值得注意的方面是它使用Rust和Nim等編程語(yǔ)言，通過(guò)DNS啟動(dòng)反彈shell并逃避檢測(cè)。它還包含持久性機(jī)制、遠(yuǎn)程訪問(wèn)工具、數(shù)據(jù)泄露命令，甚至可下載用于提供額外有效負(fù)載的.NET載荷程序，這讓其成為一種多功能惡意工具。

Skitnet于2024年4月19日首次發(fā)布，并作為由服務(wù)器組件和惡意軟件組成的“捆綁包”提供給潛在客戶。該基于Nim的二進(jìn)制文件進(jìn)一步啟動(dòng)多個(gè)線程，每10秒發(fā)送一次DNS請(qǐng)求，讀取DNS響應(yīng)并提取要在主機(jī)上執(zhí)行的命令，最終將命令執(zhí)行的結(jié)果傳回服務(wù)器。這些命令通過(guò)用于管理受感染主機(jī)的C2面板發(fā)出。

下面列出了一些受支持的PowerShell命令：

lStartup：通過(guò)在受害者設(shè)備的 Startup 目錄中創(chuàng)建快捷方式來(lái)確保持久性

lScreen：用于捕獲受害者桌面的屏幕截圖

lAnydesk/Rutserv：部署合法的遠(yuǎn)程桌面軟件，如AnyDesk或Remote Utilities（“rutserv.exe”）

lShell:用于運(yùn)行遠(yuǎn)程服務(wù)器上托管的PowerShell腳本并將結(jié)果發(fā)送回 C2 服務(wù)器

lAV:用于收集已安裝的安全產(chǎn)品的列表

早在2025年2月，便有分析人員發(fā)現(xiàn)該工具一直處于活躍狀態(tài)。它包含三個(gè)組件，一個(gè)下載器、一個(gè)后門和一個(gè)用于后門的專用加載程序，使攻擊者能夠在受感染的系統(tǒng)中，部署包括勒索軟件在內(nèi)的各類惡意程序。本輪攻擊中比較典型的勒索軟件包括BlackBasta和Cactus等。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當(dāng)前，通過(guò)雙重勒索或多重勒索模式獲利的勒索軟件家族越來(lái)越多，勒索軟件所帶來(lái)的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來(lái)越大。以下是本月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅包含未能第一時(shí)間繳納贖金或拒繳納贖金的企業(yè)或個(gè)人情況（已經(jīng)支付贖金的企業(yè)或個(gè)人，可能不會(huì)出現(xiàn)在這個(gè)清單中）。

?

圖4. 2025年5月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。若未發(fā)現(xiàn)數(shù)據(jù)存在泄漏風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請(qǐng)第一時(shí)間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有561個(gè)組織/企業(yè)遭遇勒索攻擊，其中包含中國(guó)11個(gè)組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有4個(gè)組織/企業(yè)未被標(biāo)明，因此不在以下表格中。

表2. 受害組織/企業(yè)

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server?2008、Windows 7以及Windows 10。

?

圖5?2025年5月受攻擊系統(tǒng)占比

對(duì)2025年5月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn)，與之前幾個(gè)月采集到的數(shù)據(jù)進(jìn)行對(duì)比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是被攻擊的主要對(duì)象。

?

圖6. 2025年5月國(guó)內(nèi)受攻擊地區(qū)占比排名

通過(guò)觀察2025年5月弱口令攻擊態(tài)勢(shì)發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無(wú)較大波動(dòng)。

?

圖7. 2025年5月監(jiān)控到的RDP入侵量

?

圖8. 2025年5月監(jiān)控到的MS SQL入侵量

?

圖9. 2025年5月監(jiān)控到的MYSQL入侵量

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來(lái)自360勒索軟件搜索引擎。

2wxx：屬于Weaxor勒索軟件家族，該家族目前的主要傳播方式為：利用各類軟件漏洞進(jìn)行投毒，以及通過(guò)暴力破解遠(yuǎn)程桌面口令，成功后手動(dòng)投毒。

2wstop： RNTC勒索軟件家族，該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令，成功后手動(dòng)投毒，同時(shí)通過(guò)smb共享方式加密其他設(shè)備。

2bixi：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會(huì)被修改為beijing而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫(kù)弱口令，成功后手動(dòng)投毒。

2kalxat：屬于Kalxat勒索軟件家族，由于被加密文件后綴會(huì)被修改為kalxat而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解或注入數(shù)據(jù)庫(kù)，成功后手動(dòng)投毒。

2mkp: 屬于Makop勒索軟件家族，由于被加密文件后綴會(huì)被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令，成功后手動(dòng)投毒。

2baxia：同bixi。

2mallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會(huì)被修改為mallox而成為關(guān)鍵詞。主要通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒和SQLGlobeImposter渠道進(jìn)行傳播，后來(lái)增加了漏洞利用的傳播方式。此外，360安全大腦監(jiān)控到該家族曾通過(guò)匿影僵尸網(wǎng)絡(luò)進(jìn)行傳播。

2weax：同wxx。

2sstop：同wstop。

2rw2：屬于LockBit家族，以泄露的LockBit構(gòu)建器代碼創(chuàng)建。該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫(kù)口令，成功后手動(dòng)投毒。

?

圖10?2025年5月反病毒搜索引擎關(guān)鍵詞搜索排名

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是FreeFix其次是Crysis。使用解密大師解密文件的用戶數(shù)量最高的是被Crysis家族加密的設(shè)備。

?

圖11. 2025年5月解密大師解密文件數(shù)及設(shè)備數(shù)排名