中文版 Global
首页 > 安全资讯 > 正文

2025年9月勒索软件流行态势分析

  • 2025-10-13 10:07:28

勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄漏风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。

2025年9月,全球新增的双重勒索软件有The Gentlemen、Coinbase Cartel、ShinyHunters等多个家族,传统勒索软件家族新增SnowSoul、HybridPetya、Monrans等多个家族。其中SnowSoul在中国境内有传播痕迹,HybridPetya绕过UEFI启动。

本月Weaxor勒索家族在注入系统进程后轮询加载的漏洞驱动列表中新增CVE-2025-52915漏洞驱动、安在远控漏洞驱动。该勒索家族持续跟踪开源情报中的漏洞驱动信息,并迅速将尚未被大多数安全厂商识别或拦截的漏洞驱动用于攻击,以致盲并规避安全防护。我们的产品在第一时间检测并成功拦截了这些用于致盲安全防护的恶意行为。

以下是本月值得关注的部分热点:

新型HybridPetya勒索软件可以绕过UEFI安全启动

捷豹路虎在网络攻击后将关闭时间延长一周

巴拿马经济部披露INC勒索软件的攻击事件

基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心CCTGA勒索软件防范应对工作组成员)发布本报告。

感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计:Weaxor家族占比46.24%居首位,第二的是Wmansvcs占比10.22%LockBit家族以9.68%占比位居第三。

 

图1. 2025年9月勒索软件家族占比

对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2008以及Windows Server 2012。

 

图2. 2025年9月勒索软件入侵操作系统占比

2025年9月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型桌面PC小幅领先服务器。

 

图3. 2025年9月勒索软件入侵操作系统类型占比

勒索软件热点事件

新型HybridPetya勒索软件可以绕过UEFI安全启动

最近发现的名为HybridPetya的勒索软件可以绕过UEFI安全引导功能EFI系统分区上安装恶意应用程序。该款HybridPetya似乎受到早期知名勒索软件Petya及NotPetya的启发,这两款勒索软件在2016年至2017年间颇为活跃,其会加密计算机并阻止Windows在攻击中启动,但并不提供恢复选项。

安全研究人员表示,目前发现的HybridPetya可能是一个仍在有限范围内测试的早期版本。尽管如此,其具有Secure Bypass功能的UEFI bootkit模块仍是一个实实在在的威胁。

HybridPetya融合了Petya和NotPetya的特征,包括这些旧恶意软件的视觉风格和攻击链特征。但在其感染的EFI系统分区中添加了新的东西,例如利用CVE-2024-7344漏洞绕过安全启动。HybridPetya会在启动后确定主机是否使用带有GPT分区的UEFI,并将恶意引导套件放入由多个文件组成的EFI系统分区中,其中包括配置和验证文件、修改的引导加载程序、后备UEFI引导加载程序、漏洞利用有效载荷容器以及跟踪加密进度的状态文件。

目前已发现的HybridPetya变种中使用的文件有:

l\EFI\Microsoft\Boot\config(加密标志+键+nonce+受害者ID)

l\EFI\Microsoft\Boot\verify(用于验证正确的解密密钥)

l\EFI\Microsoft\Boot\counter(用于加密群集的进度跟踪器)

l\EFI\Microsoft\Boot\bootmgfw.efi.old(原始引导加载程序的备份)

l\EFI\Microsoft\Boot\cloak.dat(包含安全引导旁路变种中的XORed bootkit)

此外,恶意软件将\EFI\Microsoft\Boot\bootmgfw.efi替换为易受攻击的“reloader.efi”,并删除了\EFI\Boot\boot\bootx64.efi文件。原始的Windows引导加载程序也被保存下来,成功恢复的情况下被用于激活,这意味着受害者支付赎金后勒索软件提供了相应的恢复机制。一旦加密完成,系统将被引导进行重新启动,并在系统启动期间向受害者索要赎金——勒索金额为价值1000美元的比特币。

虽然目前并未发现HybridPetya的任何实际在野攻击案例,但类似的项目可能会选择将PoC武器化并随时将其用于对未修补的Windows系统的攻击

捷豹路虎在网络攻击后将关闭时间延长一周

捷豹路虎(JLR)在9月16日宣布,在8月底发生毁灭性的网络攻击影响其系统之后,停产时间将再延长一周。该汽车制造商自9月2日披露遭到网络攻击以来一直在努力恢复运营,并称其生产受到严重干扰。9月初,捷豹路虎还证实攻击者在攻击期间窃取了“一些数据”并指示工作人员不要报告工作。而在9月16日早些时候,这家汽车巨头宣布仍在努力重启运营,到下周才会恢复生产。

捷豹路虎方面目前尚未回复媒体关于该事件及其对客户潜在影响的置评请求。虽然该制造商证实攻击者从其网络中窃取了信息,尚未将攻击行为归因于某个特定的网络犯罪集团然而,一个名为“Scattered Lapsus$ Hunters”的网络犯罪组织已宣称对网络攻击负责该网络犯罪组织Telegram频道上发布了JLR内部的SAP系统截屏,并表示他们还在该公司的受损系统上部署了勒索软件。

该网络犯罪组织称其是Scattered Spider、Lapsus$以及ShinyHunters勒索团伙相关的网络犯罪分子组成,并对最近的Salesforce数据盗窃攻击负责。在这些攻击中,他们使用社会工程学攻击方式入侵了Salesloft Drift OAuth令牌以窃取众多知名公司的数据,包括Google、Cloudflare、Palo Alto Networks、Tenable及Proofpoint等。

巴拿马经济部披露INC勒索软件的攻击事件

巴拿马经济和财政部(MEF)透露其内部一些计算机可能在网络攻击中受到损害。政府指出他们已启动了应对的安全排查程序,并指出该事件已被控制并且没有影响对其运营至关重要的核心系统。

MEF表示个人和机构数据均是安全的,所有相关的预案措施都已到位以防止未来发生事故。

然而,INC勒索软件团伙上周在其数据泄露网站上的一篇文章中声称MEF进行了攻击。黑客称他们从MEF的系统中窃取了超过1.5TB的数据,包括电子邮件、财务文件、预算细节等。该组织于9月5日将MEF添加到其暗网上的受害者名单中,并以内部文件形式泄露数据样本作为其入侵行为的证据。

有媒体联系了MEF并询问INC勒索软件攻击的真实性,但MEF尚未对此进行回复。

黑客信息披露

以下是本月收集到的黑客邮箱信息:

表1. 黑客邮箱

当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。

 

图4. 2025年9月通过数据泄露获利的勒索软件家族占比

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现数据存在泄漏风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。

本月总共有568个组织/企业遭遇双重勒索/多重勒索攻击,其中包含中国7个组织/企业在本月遭遇了双重勒索/多重勒索。其中有7个组织/企业未被标明,因此不在以下表格中。

表2. 受害组织/企业

系统安全防护数据分析

360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008、Windows 7以及Windows 10。

 

图5. 2025年9月受攻击系统占比

2025年9月被攻击系统所属地域进行统计,并与前几个月采集的数据进行对比发现,地区排名和占比变化均不大数字经济发达地区仍是攻击的主要对象。

 

图6. 2025年9月国内受攻击地区占比排名

通过观察2025年9月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

 

图7. 2025年9月监控到的RDP入侵量

 

图8. 2025年9月监控到的MS SQL入侵量

 

图9. 2025年9月监控到的MYSQL入侵量

勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。

²roxaew:属于Weaxor勒索软件家族,该家族目前的主要传播方式为:利用各类软件漏洞进行投毒,通过powershell加载攻击载荷并注入系统进程多轮加载不同的漏洞驱动与安全软件进行内核对抗。

²peng:属于Wmansvcs家族,高度模仿phobos家族并使用Rust语言编译,目前仅在国内传播。该家族的主要传播方式为:通过暴力破解远程桌面口令,成功后手动投毒。

²888:属于Nemesis2024家族,以勒索信中的Nemesis家族字段命名。该家族的主要传播方式为:通过暴力破解远程桌面口令与数据库口令,成功后手动投毒。

²baxia:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为beijing而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令与数据库弱口令成功后手动投毒。

²bixi:baxia。

²spmodvf:目前此扩展名反馈的用户均未提供溯源信息,暂未研判家族归属与攻击方式。

²taps:属于Paradise勒索软件家族,该家族目前的主要传播方式为:通过暴力破解远程桌面口令与数据库弱口令成功后手动投毒。

²weaxor:roxaew。

²mallox:属于TargetCompanyMallox勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播,后来增加了漏洞利用的传播方式。此外360安全大脑监控到该家族曾通过匿影僵尸网络进行传播。

²devicdata:同mallox

 

图10. 2025年9月反病毒搜索引擎关键词搜索排名

解密大师

从解密大师本月解密数据看,解密量最大的是Phobos家族其次是Crysis家族。使用解密大师解密文件的用户数量最的是被Crysis家族加密的设备。

 

图11. 2025年9月解密大师解密文件数及设备数排名

360安全卫士

热点排行

用户
反馈 返回
顶部