2025年6月勒索軟件流行態勢分析

2025-07-09 11:09:18
我要分享


微信掃碼分享

勒索軟件傳播至今，360反勒索服務已累計收到數萬次勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業數據泄漏風險不斷上升，勒索金額在數百萬到近億美元的勒索案件不斷出現，勒索軟件對企業和個人的影響和危害也越來越大。360全網安全大腦針對勒索軟件進行了全方位的監測與防御，為需要幫助的用戶提供360反勒索服務。

2025年6月，全球新增的雙重勒索軟件有WarLock、Kawa4096、TeamXXX等多個家族，傳統勒索軟件新增UraLocker、SafeLocker等家族。

本月360反勒索服務團隊接到大量Weaxor勒索家族的反饋，經技術人員分析排查發現該家族勒索軟件主要是利用企業OA系統漏洞進入到內部網絡的。我們也針對性的發布了相關分析報告和解決方案。

以下是本月值得關注的部分熱點：

Anubis勒索軟件添加了擦除器來阻止文件恢復

Krispy Kreme表示，去年11月的數據泄露影響了超過16萬人

邁凱倫醫保表示，數據泄露影響了74.3萬名患者

基于對360反勒索服務數據的分析研判，360數字安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應對工作組成員）發布本報告。

感染數據分析

針對本月勒索軟件受害者設備所中病毒家族進行統計：Weaxor家族占比52.24%居首位，第二的是RNTC、占比11.94%，BeijingCrypt家族以7.46%的占比位居第三。

圖1. 2025年6月勒索軟件家族占比

對本月受害者所使用的操作系統進行統計，位居前三的是：Windows 10、Windows Server 2008以及Windows 7。

圖2. 2025年6月勒索軟件入侵操作系統占比

2025年6月被感染的操作系統占比顯示，受攻擊的系統類型中，桌面PC系統大幅領先服務器系統。

圖3. 2025年6月勒索軟件入侵操作系統類型占比

勒索軟件熱點事件

Anubis勒索軟件添加了擦除器來阻止文件恢復

近期，我們發現Anubis勒索軟件在文件加密工具中，添加了一個擦除器模塊。該模塊會銷毀目標文件，即使支付了贖金也無法恢復。目前，Anubis在暗網上的勒索頁面只列出了8名受害者。

6月13日，一份安全研究機構的報告顯示，Anubis團伙在代碼中添加了一些新功能，其中也包含了文件擦除功能。研究人員通過分析最新Anubis樣本，發現了擦除器功能，認為該功能是為了讓受害者在壓力之下付款。其代碼會識別命令行參數“/WIPEMODE”激活破壞性行為，該參數需要發出基于密鑰的身份驗證。激活后，擦除器會擦除所有文件內容，將其大小減小到0KB，同時保持文件名和結構不變。受害者仍能看到預期目錄中的所有文件，但其內容已銷毀且無法恢復。

相關機構的分析顯示，Anubis在啟動時支持多個命令，包括用于權限提升、目錄排除和目標路徑加密的命令。默認情況下，重要的system和program目錄被排除在外，以避免導致系統完全不可用。勒索軟件還會刪除卷影副本，并終止可能干擾加密過程的進程和服務。

該勒索軟件加密代碼使用了ECIES算法，并在加密文件后附加“.anubis”擴展名。完成加密后，在加密目錄中放置了HTML贖金記錄，并且嘗試更改桌面壁紙。

Krispy Kreme表示，去年11月的數據泄露影響了超過16萬人

美國甜甜圈連鎖店Krispy Kreme證實，攻擊者在2024年11月的一次網絡攻擊中，竊取了超過16萬人的個人信息。

Krispy Kreme透露，在今年6月下旬提交緬因州總檢察長辦公室的一份文件中，其在去年11月遭遇的數據泄露已影響161676人。雖然該公司沒有透露事件中暴露了哪些數據，但提交馬薩諸塞州總檢察長的另一份文件顯示，被盜文件包含受影響個人的社會安全號碼、金融賬戶信息和駕駛執照信息。

Krispy Kreme于2024年11月29日在其IT系統上檢測到未經授權的活動，并在12月11日提交美國證券交易委員會的文件中，披露了該事件及其在線訂購中斷的情況。該公司還采取措施遏制漏洞，并聘請了外部網絡安全專家來評估攻擊對其運營的全面影響。

雖然Krispy Kreme始終尚未公布有關11月數據泄露事件的更多細節，但Play勒索軟件團伙在去年12月下旬聲稱對此次攻擊負責，稱他們還從該公司網絡中竊取了數據。

Play勒索軟件聲稱，其竊取到的文件包含：

l? 個人機密數據

l? 客戶文件

l? 預算

l? 工資單

l? 會計賬單

l? 合同

l? 稅務繳納ID

l? 財務信息

最終，Play勒索軟件團伙在與該公司談判失敗后，于12月21日在其暗網泄露網站上發布了多個檔案，其中包含數百GB文件。

邁凱倫醫保表示數據泄露影響了74.3萬名患者

邁凱倫醫保組織警告74.3萬名患者，2024年7月發生的INC勒索軟件攻擊，導致其衛生系統發生數據泄露。雖然攻擊是在2024年8月5日被發現的，但確定攻擊影響的司法調查直到2025年5月5日才完成，相關通知直到6月20日才發布。

2024年8月初，邁凱倫醫保組織遭遇IT和電話系統中斷，促使其進行調查。據報道，患者數據庫受到影響，人們在訪問邁凱倫醫院時，被要求攜帶有關預約和藥物的信息。盡管該組織沒有具體說明攻擊者情況，但邁凱倫位于密歇根州貝城的一家醫院的一名員工在網上發布了INC的勒索信息，這些勒索信息會通過醫院的打印機自動打印。

在發送給受影響個人的通知中，邁凱倫醫保組織承認該事件涉及勒索軟件攻擊，但仍未提及INC。本次調查確認，攻擊者在2024年7月17日至2024年8月3日期間，擁有邁凱倫和Karmanos系統的訪問權限。

在提交給美國當局的邁凱倫數據泄露樣本中確認患者姓名信息已泄露，并增加了其他已泄露的數據類型。因此，數據泄露的整體情況仍不清楚。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件也讓數據泄露風險越來越大。以下是本月通過數據泄露獲利的勒索軟件家族占比，該數據僅包含未第一時間繳納贖金或拒繳納贖金的部分企業或個人（已經支付贖金的企業或個人，可能不會出現在這個清單中）。

圖4. 2025年6月通過數據泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業或個人。若未發現數據存在泄漏風險的企業或個人，也請第一時間自查，做好數據已泄露的準備，采取補救措施。

本月總共有478個組織/企業遭遇雙重勒索/多重勒索攻擊，其中，中國6個組織/企業遭受雙重勒索/多重勒索，另有8個組織/企業未被標明，因此不在以下表格中。

表2. 受害組織/企業

系統安全防護數據分析

360系統安全產品目前已加入黑客入侵防護功能，在本月被攻擊的系統版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

圖5 2025年6月受攻擊系統占比

對2025年6月被攻擊系統所屬地域統計發現，與之前幾個月采集到的數據相比，地區排名和占比變化均不大。數字經濟發達地區仍是被攻擊的主要對象。

圖6. 2025年6月國內受攻擊地區占比排名

通過觀察2025年6月弱口令攻擊態勢發現，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

圖7. 2025年6月監控到的RDP入侵量

圖8. 2025年6月監控到的MS SQL入侵量

圖9. 2025年6月監控到的MYSQL入侵量

勒索軟件關鍵詞

以下是本月上榜活躍勒索軟件關鍵詞統計，數據來自360勒索軟件搜索引擎。

2? wxx：屬于Weaxor勒索軟件家族，該家族目前的主要傳播方式為：利用各類軟件漏洞進行投毒，以及通過暴力破解遠程桌面口令，成功后手動投毒。

2? baxia：屬于BeijingCrypt勒索軟件家族，由于被加密文件后綴會被修改為beijing而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令與數據庫弱口令成功后手動投毒。

2? wstop： RNTC勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒，同時通過smb共享方式加密其他設備。

2? bixi：同baxia。

2? kalxat：屬于Kalxat勒索軟件家族，由于被加密文件后綴會被修改為kalxat而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解或注入數據庫成功后手動投毒。

2? weaxor：同wxx。

2? mallox：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關鍵詞。主要通過暴力破解遠程桌面口令成功后手動投毒和SQLGlobeImposter渠道進行傳播，后增加利用漏洞的傳播方式。此外,360安全大腦監控到該家族曾通過匿影僵尸網絡進行傳播。

2? mkp: 屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

2? peng：屬于phobos家族，使用Rust語言進行編譯的版本，目前僅在國內傳播。該家族的主要傳播方式為：通過暴力破解遠程桌面口令，成功后手動投毒。

2? backups：屬于LockBit家族，以泄露的LockBit構建器代碼創建。該家族的主要傳播方式為：通過暴力破解遠程桌面口令與數據庫口令，成功后手動投毒。

圖10 2025年6月反病毒搜索引擎關鍵詞搜索排名

解密大師

從解密大師本月解密數據看，解密量最大的是FreeFix,其次是GandCrab。使用解密大師解密文件的用戶數量,最高的是被Crysis家族加密的設備。

圖11. 2025年6月解密大師解密文件數及設備數排名

熱點排行

2025年6月勒索軟件流行態勢分析

熱點排行

關注我們