2025年8月勒索軟件流行態勢分析

2025-09-04 18:15:11
我要分享


微信掃碼分享

勒索軟件傳播至今，360反勒索服務已累計收到數萬次勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業數據泄漏風險不斷上升，勒索金額在數百萬到近億美元的勒索案件不斷出現。勒索軟件給企業和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網安全大腦針對勒索軟件進行了全方位監測與防御，為需要幫助的用戶提供360反勒索服務。

2025年8月，全球新增的雙重勒索軟件有Desolator家族，傳統勒索軟件家族新增Cephalus、Pear、Charon等家族。本月安全研究人員發現了首款使用AI模型驅動的勒索軟件PromptLock，使用Go語言編寫，通過Ollama API與本地托管的LLM通信。

目前尚處在演進階段的PromptLock勒索軟件的攻擊流程：

1.生成惡意腳本

通過硬編碼的提示詞，利用大語言模型動態生成跨平臺兼容的Lua腳本。這些腳本支持Windows、Linux和MacOS系統。

2.枚舉文件系統

生成的Lua腳本會遍歷本地文件系統，識別并定位目標文件。

3.檢查目標文件

對已識別的文件進行內容分析，篩選出符合條件（如敏感數據或特定文件類型）的目標文件。

4.數據外泄

將篩選后的目標文件通過隱蔽通道外泄至攻擊者控制的服務器，可用于后續勒索威脅。

5.文件加密

使用SPECK 128位加密算法對目標文件進行加密，使受害者無法訪問原始數據。加密完成后，通常會留下勒索信息要求支付贖金。

此類勒索攻擊手法由于Lua腳本的跨平臺兼容性，攻擊流程在不同操作系統中具有一致性。借助AI的動態生成能力，可能使攻擊行為更靈活，例如，根據目標環境調整文件篩選邏輯或加密策略。

360安全大腦預測，后續隨著AI能力的擴展，此類勒索軟件在用戶環境下可能的演進方向將包含：

1.?檢測本地系統與軟件環境，創建對應環境的漏洞利用腳本，進行提權與持久化。

2.?針對本地環境中使用Lua腳本的游戲與應用軟件進行白利用劫持，以繞過絕大部分安全軟件檢測。

3.?針對自身創建腳本進行混淆，以及利用多種技術方式，嘗試致盲、關閉本地的安全防護。

4.?根據本地檢測到的環境信息與對攻擊目標的畫像理解，生成可信度更高的、定制化的勒索信文件與電子郵件。

5.?檢測選擇非工作時段且無用戶操作的時機進行文件加密，同時刪除各類企業備份數據，斷絕目標及時止損的可能。

以下是本月值得關注的部分熱點：

日產確認設計工作室數據泄露并遭Qilin勒索軟件

Colt在Warlock勒索軟件拍賣文件后確認客戶數據被盜

人力資源巨頭Workday在Salesforce攻擊后披露數據泄露

基于對360反勒索服務數據的分析研判，360數字安全集團高級威脅研究分析中心（CCTGA勒索軟件防范應對工作組成員）發布本報告。

感染數據分析

針對本月勒索軟件受害者設備所中病毒家族進行統計：Weaxor家族占比51.82%居首位，第二的是Wmansvcs占比13.18%，LockBit家族以8.64%位居第三。

圖1. 2025年8月勒索軟件家族占比

對本月受害者所使用的操作系統進行統計，位居前三的是：Windows 10、Windows Server 2012以及Windows Server 2008。

圖2. 2025年8月勒索軟件入侵操作系統占比

2025年8月被感染的系統中桌面系統和服務器系統占比顯示，受攻擊的系統類型桌面PC小幅領先于服務器。

圖3. 2025年8月勒索軟件入侵操作系統類型占比

勒索軟件熱點事件

日產確認設計工作室數據泄露并遭Qilin勒索軟件勒索

日產日本公司向媒體證實，攻擊者在未經授權的情況下訪問了其子公司Creative Box Inc.(CBI）的服務器，導致數據泄露。

2025年8月16日，日產簽約的設計公司CBI在其數據服務器上檢測到可疑訪問。該公司立即實施緊急措施，如阻止所有訪問服務器等，以減輕風險，并向警方報告了該事件。

而Qilin勒索軟件于2025年8月20日在暗網上的勒索門戶網站上添加了CBI條目，并聲稱竊取了所有設計項目，還威脅要將其公之于眾，使競爭對手獲得優勢。同時，攻擊者還發布了16張被盜數據的照片，作為他們勒索的證據，這些照片描繪了3D汽車設計、電子表格、文檔和汽車內部圖像。

日產表示，目前正在對該事件進行調查，但已經證實了數據泄露事件。日產表示，泄露的數據只會影響日產，因為日產是CBI的唯一客戶。因此，被盜數據不會暴露客戶、承包商或任何其他公司或個人。

Colt在Warlock勒索軟件拍賣文件后確認客戶數據被盜

英國電信公司Colt Technology Services證實，隨著Warlock勒索軟件團伙拍賣其竊取到的文件，該公司的部分客戶文件已被泄露。這家英國電信和網絡服務提供商此前披露其8月12日曾遭到攻擊，但這是他們第一次確認數據被盜。該聲明是在Warlock集團在Ramp網絡犯罪論壇上出售他們聲稱從Colt竊取100萬份文件之后發表的，這些文件以20萬美元的價格出售，據稱包含財務信息、網絡架構數據和客戶信息。

媒體已確認論壇帖子中列出的Tox ID與早期版本勒索軟件團伙所使用的ID相匹配。雖然目前尚不確定本次對Colt勒索的贖金金額具體是多少，但此前該勒索軟件團伙的贖金訴求通常在45萬至數百萬美元之間。

人力資源巨頭Workday在Salesforce攻擊后披露數據泄露

在最近的一次社會工程學攻擊中，人力資源巨頭Workday被攻擊者竊取了對第三方客戶關系管理（CRM）平臺的訪問權限后，披露了此次數據泄露事件。8月15日，該公司透露，攻擊者可以訪問存儲在受損的CRM系統上的一些信息，并補充說沒有客戶賬戶受到影響。然而，目前此次事件中被竊取的一些業務聯系信息已經曝光，包括可用于后續攻擊的客戶數據——其中重要的是一些常見的商業聯系信息，如姓名、電子郵件地址和電話號碼，這些數據可能會進一步推動攻擊者的社會工程騙局。

在發給可能受影響的客戶的另一份通知中，該公司補充說該漏洞大約是在8月6日發現的。攻擊者通過短信或電話與員工聯系，假裝來自人力資源或IT部門，試圖誘騙他們泄露賬戶訪問或個人信息。雖然該公司沒有直接確認，但據媒體了解，本次事件可能是與ShinyHunters勒索集團相關的一波安全漏洞的一部分，該勒索集團通過社會工程學和語音網絡釣魚攻擊Salesforce CRM實例。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件帶來的數據泄露風險也越來越大。以下是本月通過數據泄露獲利的勒索軟件家族占比，該數據僅為未能第一時間繳納贖金或拒繳納贖金部分（已經支付贖金的企業或個人，可能不會出現在這個清單中）。

圖4. 2025年8月通過數據泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業或個人。未發現數據存在泄漏風險的企業或個人，也請第一時間自查，做好數據已被泄露準備，采取補救措施。

本月共有519個組織/企業遭遇雙重勒索/多重勒索攻擊，其中，包含中國12個組織/企業遭遇了雙重勒索/多重勒索，有12個組織/企業未被標明，因此不在以下表格中。

表2. 受害組織/企業

系統安全防護數據分析

360系統安全產品，目前已加入黑客入侵防護功能。在本月被攻擊的系統版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

圖5?2025年8月受攻擊系統占比

對2025年8月被攻擊系統所屬地域統計發現，與之前幾個月采集到的數據進行對比，地區排名和占比變化均不大。數字經濟發達地區仍是受攻擊的主要對象。

圖6. 2025年8月國內受攻擊地區占比排名

通過觀察2025年8月弱口令攻擊態勢發現，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

圖7. 2025年8月監控到的RDP入侵量

圖8. 2025年8月監控到的MS SQL入侵量

圖9. 2025年8月監控到的MYSQL入侵量

勒索軟件關鍵詞

以下是本月上榜活躍勒索軟件關鍵詞統計，數據來自360勒索軟件搜索引擎。

2roxaew
屬于Weaxor勒索軟件家族，該家族目前的主要傳播方式為：利用各類軟件漏洞進行投毒，通過powershell加載攻擊載荷并與安全軟件進行內核對抗。

2weaxor
同roxaew。

2peng
屬于Wmansvcs家族，高度模仿phobos家族并使用Rust語言編譯，目前僅在國內傳播。該家族的主要傳播方式為：通過暴力破解遠程桌面口令，成功后手動投毒。

2baxia
屬于BeijingCrypt勒索軟件家族，由于被加密文件后綴會被修改為beijing而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令與數據庫弱口令，成功后手動投毒。

2bixi
同baxia。

2wxx
同roxaew。

2enzo
屬于ZeroCool勒索軟件家族，該家族目前的主要傳播方式為：利用各類軟件漏洞進行投毒或通過暴力破解遠程桌面口令與數據庫弱口令，成功后手動投毒。

2mallox
屬于TargetCompany（Mallox）勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關鍵詞。主要通過暴力破解遠程桌面口令，成功后手動投毒和SQLGlobeImposter渠道進行傳播，后來增加了漏洞利用的傳播方式。此外，360安全大腦監控到該家族曾通過匿影僵尸網絡進行傳播。

2mkp
屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令，成功后手動投毒。

2888
屬于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。該家族的主要傳播方式為：通過暴力破解遠程桌面口令與數據庫口令，成功后手動投毒。

圖10 2025年8月反病毒搜索引擎關鍵詞搜索排名

解密大師

從解密大師本月解密數據看，解密量最大的是Phobos，其次是Loki。使用解密大師解密文件的用戶數量，最高的是被Crysis家族加密的設備。

圖11. 2025年8月解密大師解密文件數及設備數排名

熱點排行

2025年8月勒索軟件流行態勢分析

熱點排行

關注我們