2026年5月勒索软件流行态势分析

2026-06-12 11:25:18
我要分享


微信扫码分享

勒索软件传播至今，360反勒索服务已累计接收到数万例勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件中不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。

2026年5月，全球新增的双重勒索软件有Mortar、CmdOrganization、0daySyndicate家族，传统勒索软件家族新增LaliaLocker、LQTOREQ、BrzCrypt等多个家族。

Sorry勒索家族本月持续活跃。此前360发布深度报告预警该家族存在Linux版本，报告发布后不久便被境外多个安全论坛与媒体证实其 Linux 版本正利用cPanel漏洞大肆传播。与此同时该家族的 Windows 版本在国内也维持着高发态势，本月主要利用Borland Socket Server（PE版本信息中的原始文件名为scktsrvr.exe）漏洞进行传播。该组件漏洞影响了国内多个行业头部厂商的中小微企业管理软件。据现有反馈与观察，受影响行业主要集中在医药、医疗器械、中小商贸，以及其他各类中小微企业。

本月Weaxor家族rox后缀变种持续活跃，360同时捕获了该家族这一后缀的Linux平台样本，延续了该家族漏洞利用的攻击模式。而在Windows目标下，仍在通过持续多轮更换远程下发的BYOVD驱动以对抗安全软件。另外，该家族还迅速将开源情报披露的一款联想漏洞驱动迅速武器化发起攻击，被360安全大脑及时拦截。

LockBit家族本月再度通过Phorpiex僵尸网络进行批量下发，相关反馈的攻击时段集中于5月26日后。这些受害者中招前均未安装有效的安全软件进行防护，鉴于僵尸网络的内网传播与持续潜伏特性，受害者需主动与所在机构与单位沟通并及时进行内网安全扫描与加固。

以下是本月值得关注的部分热点：

①　Sorry勒索软件大规模利用cPanel漏洞发起攻击

②　富士康证实Nitrogen勒索团伙声称的网络攻击

③　网络犯罪服务利用微软平台签名恶意软件的行为被拦截

基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心（CCTGA勒索软件防范应对工作组成员）发布本报告。

安全软件占比分析

360反勒索服务已经存在超过十年，并长期致力于全网勒索病毒攻击的响应、分析、处置、攻防、预警、解密工作。自2026年1月起，新增安全软件占比统计，主要用于评估当前复杂网络攻防态势下愈发严重的基线安全问题，为勒索相关的攻击事件提供接近真实维度的数据。

本月的勒索反馈中未安装安全软件的占比达到58.94%，未正常启用360安全软件的设备占比19.94%，安装了其他安全软件的设备则占比21.11%。在溯源分析中发现，所有安装了360安全软件的反馈设备均未开启相关防护，尚未发现绕过360多维防御体系的勒索攻击。

图1. 2026年5月勒索软件中招设备中安装的安全软件占比

感染数据分析

针对本月勒索软件受害者设备中病毒家族进行统计：Weaxor家族占比26.72%，居首位；第二的是Wmansvcs，占比23.71%；Sorry家族以14.66%的占比位居第三。

图2. 2026年5月勒索软件家族占比

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows 11以及Windows Server 2012

图3. 2026年5月勒索软件入侵操作系统占比

2026年5月被感染的系统中，从桌面系统、服务器系统占比来看，服务器数量领先于桌面PC，Nas平台攻击行为有所增加。

图4. 2026年5月勒索软件入侵操作系统类型占比

勒索软件热点事件

Sorry勒索软件大规模利用cPanel漏洞发起攻击

本月初，Linux主机管理面板WHM/cPanel被披露存在严重身份验证绕过漏洞CVE-2026-41940，攻击者已大规模利用该漏洞入侵服务器并发动“Sorry”勒索软件攻击。官方本周紧急发布安全更新修复漏洞，但安全研究人员发现，该漏洞实际上早在2月底就已被当作零日漏洞利用。互联网安全机构ShadowServer表示，目前已有至少4.4万个运行cPanel的IP地址在持续攻击中遭到入侵。

攻击者利用该漏洞获取服务器控制权限后，会部署基于Go语言开发的Linux版“Sorry”勒索软件，对网站数据进行加密。已有大量网站受到影响，部分受害站点甚至已被Google索引。该勒索软件会给加密文件追加“.sorry”扩展名，并在每个目录中生成名为README.md的勒索说明，要求受害者通过Tox联系攻击者协商赎金支付。所有受害者收到的Tox ID均相同，说明此次攻击活动可能由同一团伙统一实施。

技术分析显示，“Sorry”勒索软件使用ChaCha20流加密算法加密文件，并通过内置RSA-2048公钥保护密钥。若没有对应的RSA-2048私钥，几乎无法恢复被加密的数据。此外，本次“Sorry”勒索软件与2018年曾使用HiddenTear加密器、同样附加“.sorry”后缀的旧攻击活动并无关联。

富士康证实Nitrogen勒索团伙声称的网络攻击

电子制造巨头、全球最大电子产品代工厂富士康证实，其位于北美的部分工厂遭遇网络攻击，目前正逐步恢复正常运营。公司表示，事件发生后已立即启动网络安全应急机制，并采取多项措施保障生产与交付持续进行。富士康在全球24个国家拥有超过240个园区、约90万名员工，2025年营收超过2600亿美元，同时为苹果、英伟达、英特尔、谷歌等大型科技企业生产电子产品。

此次事件源于“Nitrogen”勒索软件组织的公开声明。该组织声称已窃取富士康约8TB数据和超过1100万份文件，其中包括苹果、英特尔、谷歌、英伟达、AMD等客户的“机密指令、项目与设计图纸”。富士康随后向媒体确认遭受攻击，但未透露更多受影响细节。

报道指出，Nitrogen勒索软件组织最早于2023年出现，其早期恶意加载器曾部署BlackCat/ALPHV勒索软件，之后又基于泄露的Conti 2代码开发了自己的勒索软件。不过安全研究人员发现，其针对VMware ESXi环境的加密程序存在严重编码错误，可能导致文件被不可逆损坏。虽然Nitrogen并非最活跃的勒索软件团伙，但自2024年以来已陆续公布数十名受害者。

此外，富士康此前也多次遭遇勒索软件攻击，包括2024年的LockBit勒索软件事件，以及2020年DoppelPaymer勒索软件针对其墨西哥工厂的攻击，当时攻击者声称加密了约1400台服务器，并索要3400万美元赎金。

网络犯罪服务利用微软平台签名恶意软件的行为被拦截

微软披露并联合执法机构打击了一个名为“Fox Tempest”的“恶意软件签名即服务”犯罪平台。该组织滥用微软Azure Artifact Signing云签名服务，为恶意程序生成短期数字签名证书，使恶意软件能够伪装成合法程序绕过 Windows安全检测。微软称，Fox Tempest已创建超过1000个欺诈性代码签名证书以及数百个Azure租户和订阅，并通过美国纽约南区联邦法院提起法律行动。微软随后查封了其核心域名signspace[.]cloud，下线数百台相关虚拟机，并阻断其基础设施访问。

调查显示，该平台被广泛用于多个恶意软件和勒索软件攻击活动，包括Oyster、Lumma Stealer、Vidar，以及Rhysida、Akira、INC、Qilin和BlackByte等勒索软件家族。微软指出，包括 Vanilla Tempest（INC 勒索软件成员）、Storm-0501、Storm-2561和Storm-0249在内的攻击者都曾使用这些经过签名的恶意程序实施攻击。犯罪分子会将恶意文件伪装成Microsoft Teams、AnyDesk、PuTTY、Webex等合法软件安装包，诱导受害者执行后部署恶意加载器、Oyster木马以及Rhysida勒索软件。

微软认为，Fox Tempest通过盗用美国和加拿大身份信息，绕过签名服务身份验证，并专门使用仅72小时有效的短期证书以降低暴露风险。该平台还向客户提供预配置云虚拟机用于自动化签名服务，并通过Telegram频道“EV Certs for Sale by SamCodeSign”公开招揽客户，收费高达5000至9000美元比特币。微软表示，该组织已从相关非法业务中获利数百万美元。

黑客信息披露

本月收集到的黑客邮箱信息如下