2025年9月勒索軟件流行態(tài)勢(shì)分析

勒索軟件傳播至今，360反勒索服務(wù)已累計(jì)接收到數(shù)萬(wàn)次勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄漏風(fēng)險(xiǎn)不斷上升，勒索金額在數(shù)百萬(wàn)到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個(gè)人帶來(lái)的影響范圍越來(lái)越廣，危害性也越來(lái)越大。360全網(wǎng)安全大腦針對(duì)勒索軟件進(jìn)行了全方位的監(jiān)測(cè)與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2025年9月，全球新增的雙重勒索軟件有The Gentlemen、Coinbase Cartel、ShinyHunters等多個(gè)家族，傳統(tǒng)勒索軟件家族新增SnowSoul、HybridPetya、Monrans等多個(gè)家族。其中，SnowSoul在中國(guó)境內(nèi)有傳播痕跡，HybridPetya繞過(guò)UEFI啟動(dòng)。

本月Weaxor勒索家族在注入系統(tǒng)進(jìn)程后輪詢加載的漏洞驅(qū)動(dòng)列表中，新增CVE-2025-52915漏洞驅(qū)動(dòng)、安在遠(yuǎn)控漏洞驅(qū)動(dòng)。該勒索家族持續(xù)跟蹤開(kāi)源情報(bào)中的漏洞驅(qū)動(dòng)信息，并迅速將尚未被大多數(shù)安全廠商識(shí)別或攔截的漏洞驅(qū)動(dòng)用于攻擊，以致盲并規(guī)避安全防護(hù)。我們的產(chǎn)品在第一時(shí)間檢測(cè)并成功攔截了這些用于致盲安全防護(hù)的惡意行為。

以下是本月值得關(guān)注的部分熱點(diǎn)：

新型HybridPetya勒索軟件可以繞過(guò)UEFI安全啟動(dòng)

捷豹路虎在網(wǎng)絡(luò)攻擊后將關(guān)閉時(shí)間延長(zhǎng)一周

巴拿馬經(jīng)濟(jì)部披露INC勒索軟件的攻擊事件

基于對(duì)360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級(jí)威脅研究分析中心（CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）發(fā)布本報(bào)告。

感染數(shù)據(jù)分析

針對(duì)本月勒索軟件受害者設(shè)備所中病毒家族進(jìn)行統(tǒng)計(jì)：Weaxor家族占比46.24%居首位，第二的是Wmansvcs占比10.22%，LockBit家族以9.68%占比位居第三。

?

圖1. 2025年9月勒索軟件家族占比

對(duì)本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows 10、Windows Server 2008以及Windows Server 2012。

?

圖2. 2025年9月勒索軟件入侵操作系統(tǒng)占比

2025年9月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型桌面PC小幅領(lǐng)先服務(wù)器。

?

圖3. 2025年9月勒索軟件入侵操作系統(tǒng)類型占比

勒索軟件熱點(diǎn)事件

新型HybridPetya勒索軟件可以繞過(guò)UEFI安全啟動(dòng)

最近發(fā)現(xiàn)的名為HybridPetya的勒索軟件，可以繞過(guò)UEFI安全引導(dǎo)功能，在EFI系統(tǒng)分區(qū)上安裝惡意應(yīng)用程序。該款HybridPetya似乎受到早期知名勒索軟件Petya及NotPetya的啟發(fā)，這兩款勒索軟件在2016年至2017年間頗為活躍，其會(huì)加密計(jì)算機(jī)并阻止Windows在攻擊中啟動(dòng)，但并不提供恢復(fù)選項(xiàng)。

安全研究人員表示，目前發(fā)現(xiàn)的HybridPetya可能是一個(gè)仍在有限范圍內(nèi)測(cè)試的早期版本。盡管如此，其具有Secure Bypass功能的UEFI bootkit模塊仍是一個(gè)實(shí)實(shí)在在的威脅。

HybridPetya融合了Petya和NotPetya的特征，包括這些舊惡意軟件的視覺(jué)風(fēng)格和攻擊鏈特征。但在其感染的EFI系統(tǒng)分區(qū)中添加了新的東西，例如，利用CVE-2024-7344漏洞繞過(guò)安全啟動(dòng)。HybridPetya會(huì)在啟動(dòng)后確定主機(jī)是否使用帶有GPT分區(qū)的UEFI，并將惡意引導(dǎo)套件放入由多個(gè)文件組成的EFI系統(tǒng)分區(qū)中，其中包括配置和驗(yàn)證文件、修改的引導(dǎo)加載程序、后備UEFI引導(dǎo)加載程序、漏洞利用有效載荷容器以及跟蹤加密進(jìn)度的狀態(tài)文件。

目前已發(fā)現(xiàn)的HybridPetya變種中使用的文件有：

l\EFI\Microsoft\Boot\config（加密標(biāo)志+鍵+nonce+受害者ID）

l\EFI\Microsoft\Boot\verify（用于驗(yàn)證正確的解密密鑰）

l\EFI\Microsoft\Boot\counter（用于加密群集的進(jìn)度跟蹤器）

l\EFI\Microsoft\Boot\bootmgfw.efi.old（原始引導(dǎo)加載程序的備份）

l\EFI\Microsoft\Boot\cloak.dat（包含安全引導(dǎo)旁路變種中的XORed bootkit）

此外，惡意軟件將\EFI\Microsoft\Boot\bootmgfw.efi替換為易受攻擊的“reloader.efi”，并刪除了\EFI\Boot\boot\bootx64.efi文件。原始的Windows引導(dǎo)加載程序也被保存下來(lái)，在成功恢復(fù)的情況下被用于激活，這意味著受害者支付贖金后勒索軟件提供了相應(yīng)的恢復(fù)機(jī)制。一旦加密完成，系統(tǒng)將被引導(dǎo)進(jìn)行重新啟動(dòng)，并在系統(tǒng)啟動(dòng)期間向受害者索要贖金——勒索金額為價(jià)值1000美元的比特幣。

雖然目前并未發(fā)現(xiàn)HybridPetya的任何實(shí)際在野攻擊案例，但類似的項(xiàng)目可能會(huì)選擇將PoC武器化，并隨時(shí)將其用于對(duì)未修補(bǔ)的Windows系統(tǒng)的攻擊。

捷豹路虎在網(wǎng)絡(luò)攻擊后將關(guān)閉時(shí)間延長(zhǎng)一周

捷豹路虎（JLR）在9月16日宣布，在8月底發(fā)生毀滅性的網(wǎng)絡(luò)攻擊影響其系統(tǒng)之后，停產(chǎn)時(shí)間將再延長(zhǎng)一周。該汽車制造商自9月2日披露遭到網(wǎng)絡(luò)攻擊以來(lái)，一直在努力恢復(fù)運(yùn)營(yíng)，并稱其生產(chǎn)受到嚴(yán)重干擾。9月初，捷豹路虎還證實(shí)攻擊者在攻擊期間竊取了“一些數(shù)據(jù)”并指示工作人員不要報(bào)告工作。而在9月16日早些時(shí)候，這家汽車巨頭宣布仍在努力重啟運(yùn)營(yíng)，要到下周才會(huì)恢復(fù)生產(chǎn)。

捷豹路虎方面目前尚未回復(fù)媒體關(guān)于該事件及其對(duì)客戶潛在影響的置評(píng)請(qǐng)求。雖然該制造商證實(shí)攻擊者從其網(wǎng)絡(luò)中竊取了信息，但尚未將攻擊行為歸因于某個(gè)特定的網(wǎng)絡(luò)犯罪集團(tuán)。然而，一個(gè)名為“Scattered Lapsus$ Hunters”的網(wǎng)絡(luò)犯罪組織已宣稱對(duì)網(wǎng)絡(luò)攻擊負(fù)責(zé)，該網(wǎng)絡(luò)犯罪組織在Telegram頻道上發(fā)布了JLR內(nèi)部的SAP系統(tǒng)截屏，并表示他們還在該公司的受損系統(tǒng)上部署了勒索軟件。

該網(wǎng)絡(luò)犯罪組織稱，其是由Scattered Spider、Lapsus$以及ShinyHunters勒索團(tuán)伙相關(guān)的網(wǎng)絡(luò)犯罪分子組成，并對(duì)最近的Salesforce數(shù)據(jù)盜竊攻擊負(fù)責(zé)。在這些攻擊中，他們使用社會(huì)工程學(xué)攻擊方式入侵了Salesloft Drift OAuth令牌，以竊取眾多知名公司的數(shù)據(jù)，包括Google、Cloudflare、Palo Alto Networks、Tenable及Proofpoint等。

巴拿馬經(jīng)濟(jì)部披露INC勒索軟件的攻擊事件

巴拿馬經(jīng)濟(jì)和財(cái)政部（MEF）透露，其內(nèi)部一些計(jì)算機(jī)可能在網(wǎng)絡(luò)攻擊中受到損害。政府指出，他們已啟動(dòng)了應(yīng)對(duì)的安全排查程序，并指出該事件已被控制并且沒(méi)有影響到對(duì)其運(yùn)營(yíng)至關(guān)重要的核心系統(tǒng)。

MEF表示，個(gè)人和機(jī)構(gòu)數(shù)據(jù)均是安全的，所有相關(guān)的預(yù)案措施都已到位，以防止未來(lái)發(fā)生事故。

然而，INC勒索軟件團(tuán)伙上周在其數(shù)據(jù)泄露網(wǎng)站上的一篇文章中聲稱，對(duì)MEF進(jìn)行了攻擊。黑客稱他們從MEF的系統(tǒng)中竊取了超過(guò)1.5TB的數(shù)據(jù)，包括電子郵件、財(cái)務(wù)文件、預(yù)算細(xì)節(jié)等。該組織于9月5日將MEF添加到其暗網(wǎng)上的受害者名單中，并以內(nèi)部文件形式泄露數(shù)據(jù)樣本，作為其入侵行為的證據(jù)。

有媒體聯(lián)系了MEF并詢問(wèn)INC勒索軟件攻擊的真實(shí)性，但MEF尚未對(duì)此進(jìn)行回復(fù)。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當(dāng)前，通過(guò)雙重勒索或多重勒索模式獲利的勒索軟件家族越來(lái)越多，勒索軟件所帶來(lái)的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來(lái)越大。以下是本月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時(shí)間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個(gè)人，可能不會(huì)出現(xiàn)在這個(gè)清單中）。

?

圖4. 2025年9月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。若未發(fā)現(xiàn)數(shù)據(jù)存在泄漏風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請(qǐng)第一時(shí)間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有568個(gè)組織/企業(yè)遭遇雙重勒索/多重勒索攻擊，其中包含中國(guó)7個(gè)組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有7個(gè)組織/企業(yè)未被標(biāo)明，因此不在以下表格中。

表2. 受害組織/企業(yè)

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

?

圖5.?2025年9月受攻擊系統(tǒng)占比

對(duì)2025年9月被攻擊系統(tǒng)所屬地域進(jìn)行統(tǒng)計(jì)，并與前幾個(gè)月采集的數(shù)據(jù)進(jìn)行對(duì)比發(fā)現(xiàn)，地區(qū)排名和占比變化均不大，數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對(duì)象。

?

圖6. 2025年9月國(guó)內(nèi)受攻擊地區(qū)占比排名

通過(guò)觀察2025年9月弱口令攻擊態(tài)勢(shì)發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無(wú)較大波動(dòng)。

?

圖7. 2025年9月監(jiān)控到的RDP入侵量

?

圖8. 2025年9月監(jiān)控到的MS SQL入侵量

?

圖9. 2025年9月監(jiān)控到的MYSQL入侵量

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來(lái)自360勒索軟件搜索引擎。

2roxaew：屬于Weaxor勒索軟件家族，該家族目前的主要傳播方式為：利用各類軟件漏洞進(jìn)行投毒，通過(guò)powershell加載攻擊載荷并注入系統(tǒng)進(jìn)程，多輪加載不同的漏洞驅(qū)動(dòng)與安全軟件進(jìn)行內(nèi)核對(duì)抗。

2peng：屬于Wmansvcs家族，高度模仿phobos家族并使用Rust語(yǔ)言編譯，目前僅在國(guó)內(nèi)傳播。該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令，成功后手動(dòng)投毒。

2888：屬于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫(kù)口令，成功后手動(dòng)投毒。

2baxia：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會(huì)被修改為beijing而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫(kù)弱口令成功后手動(dòng)投毒。

2bixi：同baxia。

2spmodvf：目前此擴(kuò)展名反饋的用戶均未提供溯源信息，暫未研判家族歸屬與攻擊方式。

2taps：屬于Paradise勒索軟件家族，該家族目前的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫(kù)弱口令成功后手動(dòng)投毒。

2weaxor：同roxaew。

2mallox：屬于TargetCompany（Mallox）勒索軟件家族，由于被加密文件后綴會(huì)被修改為mallox而成為關(guān)鍵詞。主要通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒和SQLGlobeImposter渠道進(jìn)行傳播，后來(lái)增加了漏洞利用的傳播方式。此外，360安全大腦監(jiān)控到該家族曾通過(guò)匿影僵尸網(wǎng)絡(luò)進(jìn)行傳播。

2devicdata：同mallox

?

圖10.?2025年9月反病毒搜索引擎關(guān)鍵詞搜索排名

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是Phobos家族，其次是Crysis家族。使用解密大師解密文件的用戶數(shù)量最大的是被Crysis家族加密的設(shè)備。

?

圖11. 2025年9月解密大師解密文件數(shù)及設(shè)備數(shù)排名