2025年4月勒索软件流行态势分析

2025-05-07 20:52:08
我要分享


微信扫码分享

勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额从数百万到上亿美元的勒索案件不断出现。勒索软件对企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位监测与防御，为需要帮助的用户提供360反勒索服务。

2025年4月，全球新增的双重勒索软件有Devman、Gunra、Silent等多个新增家族。传统勒索软件家族Kann再度活跃，360成功破解。

近期，360反病毒团队在监测过程中发现了一款勒索软件开始活跃，其变种名为“.kann”与“xmrdata”。该勒索软件采用了较为复杂的混合加密策略，利用RC4与AES算法对受害者文件进行加密，并通过RSA算法对上述密钥再次进行加密，以此进一步提升了数据解密的难度。最后，勒索软件会将加密后的文件统一添加“.kann”扩展名。

而值得注意的是，虽然该勒索组织自认为在密钥管理上非常稳妥，但实际上存在一定设计缺陷。故此，研究人员通过对加密流程的逆向分析与算法优化，发现可以尝试利用当前GPU或高性能CPU的算力，对加密文件进行密钥暴力破解，从而在较短时间内实现文件解密。这一发现为受害者带来了一线希望，也为防御和应对类似勒索攻击提供了有价值的参考经验。受该勒索软件攻击的用户，也可以联系360反勒索服务进行解密。

以下是本月值得关注的部分热点：

Interlock勒索软件团伙在ClickFix攻击中推送虚假IT工具

西雅图港表示勒索软件泄露影响了90000人

德克萨斯律师协会在INC勒索软件发布攻击声明后确认数据泄露

基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。

感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计：Weaxor家族占比35.97%居首位，第二的是RNTC占比22.30%的，Makop家族以15.51%位居第三。

其中：Weaxor家族最早出现于2024年11月，是Mallox家族的变种版本。该团伙重点攻击国内的用友NC、亿赛通、蓝凌、明源、智邦、灵当、致远OA、SQLServer等Web应用和数据库，针对部分机器投递CobaltStrike进行远程控制，针对部分机器投递勒索病毒。

自2025年1月起此家族持续霸榜Top1，赎金范围在8千到1.5万元人民币之间。

图1. 2025年4月勒索软件家族占比

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows Server 2012以及Windows Server 2008。

图2. 2025年4月勒索软件入侵操作系统占比

2025年3月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌面PC大幅领先服务器，NAS平台以内网SMB共享加密为主。

图3. 2025年4月勒索软件入侵操作系统类型占比

勒索软件热点事件

Interlock勒索软件团伙在ClickFix攻击中推送虚假IT工具

Interlock勒索软件团伙现在使用ClickFix攻击，此类攻击会依靠伪造的IT工具来破坏公司网络并在设备上部署文件加密恶意软件。ClickFix是一种社会工程策略，受害者被诱骗在其系统上执行危险的PowerShell命令以修复错误或验证自己，从而导致安装恶意软件。虽然这不是ClickFix第一次与勒索软件感染相关联，但对Interlock的确认表明，利用该策略的这类威胁行为呈增加趋势。

过去，Interlock利用虚假的浏览器和VPN客户端更新来安装恶意软件并破坏网络。据研究人员称，Interlock勒索软件团伙于2025年1月开始使用ClickFix攻击。Interlock至少使用四个URL来托管虚假的CAPTCHA提示，告诉访问者在他们的计算机上执行命令以验证自己并下载推广的工具。研究人员在四个不同的站点上检测到了恶意验证码，这些验证码模仿了Microsoft或Advanced IP Scanner门户：

l microsoft-msteams[.]com/additional-check.html

l microstteams[.]com/additional-check.html

l ecologilives[.]com/additional-check.html

l advanceipscaner[.]com/additional-check.html

不过，只有冒充Advanced IP Scanner的网站会引导下载恶意安装程序。

研究人员在分析恶意载荷时发现样本中具有C2域名以及各种有效载荷响应，包括LummaStealer、BerserkStealer、键盘记录器和Interlock RAT。后者是一种简单的木马，可以动态配置，支持文件泄露、shell命令执行和运行恶意DLL。

在最初的入侵和RAT部署完成后，Interlock运营商使用被盗的凭据，通过RDP进行横向移动。此外，研究人员还发现了PuTTY、AnyDesk和LogMeIn均被用于发动相关攻击。

勒索软件执行前的最后一步是数据泄露，将被盗文件上传到攻击者控制的Azure存储池中。

西雅图港表示勒索软件泄露影响了90000人

美国西雅图港于2024年8月24日披露了带有数据窃取的勒索攻击，称由此导致的IT中断影响了多项服务和系统，包括预订值机系统、乘客显示屏、西雅图港网站、flySEA应用程序，并导致西雅图-塔科马国际机场的航班延误。在首次披露三周后，港口确认Rhysida勒索软件是本次攻击事件的幕后黑手。事件发生后，港口还决定不屈服于网络犯罪分子支付解密器费用的要求，即使他们威胁要在其暗网泄露网站上发布被盗数据。

2025年4月3日，该港口宣布它现在将向受由此产生的数据泄露影响且拥有邮寄地址的个人发送大约90000封通知信。据该机构称，受此次数据泄露影响的人中约有71000人来自华盛顿州。泄露的通知信显示，攻击者以各种手段窃取了员工、承包商和停车数据，包括姓名、出生日期、社会安全号码、驾驶执照或其他政府身份证号码以及一些医疗信息。

此外，该港口还表示它存储的机场或海上乘客信息“非常少”，其支付处理系统没有受到攻击的影响。

德克萨斯律师协会在INC勒索软件发布攻击声明后确认数据泄露

美国德克萨斯州律师协会警告说，在INC勒索软件团伙声称已入侵该组织并开始泄露被盗数据样本后，他们确认了数据泄露的事实。在发送给受影响成员的通知信中，该协会表示它是在2025年1月28日至2月9日期间遭受了漏洞攻击，但本次攻击直到2月12日才被发现。攻击者从其网络中窃取的信息包括其成员的全名和其他数据，这些数据已提交给了当地的总检察长办公室的公共数据泄露处理部门。

该通知没有提供有关此次泄露的黑客组织的更多信息，但INC勒索软件团伙于2025年3月9日将该组织添加到其暗网勒索页面，声称对德克萨斯州律师协会发起了攻击。攻击者已经泄露了据称被盗的文件样本，包括法律案件文件。目前无法验证INC所泄露的数据是否来自该组织的网络，以及它们是私人信息还是公开信息。到目前为止，德克萨斯州律师协会也未做出相关的回应和声明。

但协会发出的数据泄露警告通知中，告知受害者可通过Experian获得免费的信用和身份盗窃监控服务。此外，建议他们考虑激活信用冻结或在其信用档案上放置欺诈警报，以减轻因数据泄露而产生的风险。

黑客信息披露

以下是本月收集到的黑客邮箱信息：

表1. 黑客邮箱

当前，通过双重勒索或多重勒索模式获利的勒索软件家族越来越多，勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比，该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分（已经支付赎金的企业或个人，可能不会出现在这个清单中）。

图4. 2025年4月通过数据泄露获利的勒索软件家族占比

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现数据存在泄露风险的企业或个人也请第一时间自查，做好数据已被泄露准备，采取补救措施。

本月总共有485个组织/企业遭遇勒索攻击，其中包含中国9个组织/企业在本月遭遇了双重勒索/多重勒索。其中有5个组织/企业未被标明，因此不在以下表格中。

表2. 受害组织/企业

系统安全防护数据分析

360系统安全产品，目前已加入黑客入侵防护功能。在本月被攻击的系统版本中，排行前三的依次为Windows Server 2008、Windows 7以及Windows 10。

图5 2025年4月受攻击系统占比

对2025年4月被攻击系统所属地域统计发现，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是被攻击的主要对象。

图6. 2025年4月国内受攻击地区占比排名

通过观察2025年4月弱口令攻击态势发现，RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

图7. 2025年4月监控到的RDP入侵量

图8. 2025年4月监控到的MS SQL入侵量

图9. 2025年4月监控到的MY SQL入侵量

勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计，数据来自360勒索软件搜索引擎。

² wxx：属于Weaxor勒索软件家族，该家族目前的主要传播方式为：利用各类软件漏洞进行投毒，以及通过暴力破解远程桌面口令成功后手动投毒。

² wstop： RNTC勒索软件家族，该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒，同时通过smb共享方式加密其他设备。

² mkp: 属于Makop勒索软件家族，由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

² bixi：属于BeijngCrypt勒索软件家族，由于被加密文件后缀会被修改为beijing而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令与数据库弱口令成功后手动投毒。

² baxia：同bixi。

² mallox：属于TargetCompany(Mallox)勒索软件家族，由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播，后来增加了利用漏洞的传播方式。此外，360安全大脑监控到该家族样本曾通过匿影僵尸网络进行传播。

² weax：同wxx。

² wxr：同wxx。

² sstop：同wstop。

² 888：属于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒。devicdata：同hmallox。

图10 2025年4月反病毒搜索引擎关键词搜索排名

解密大师

从解密大师本月解密数据看，解密量最大的是FreeFix其次是Loki。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。

2025年4月勒索软件流行态势分析

热点排行

关注我们