2025年7月勒索軟件流行態(tài)勢分析

2025-08-07 16:13:25
我要分享


微信掃碼分享

勒索軟件傳播至今，360反勒索服務已累計接收到數(shù)萬次勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄漏風險不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網安全大腦針對勒索軟件進行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務。

2025年7月，全球新增的雙重勒索軟件有BaqiyatLock、Satanlockv2等多個新增家族。傳統(tǒng)勒索軟件家族新增Darkness、Walocker、Mino等家族。

其中Darkness在國內也有大量傳播，并已經出現(xiàn)多個變種。Walocker與Mino勒索軟件分別所屬的攻擊組織則利用了一組被命名為ToolShell的0day漏洞對微軟SharePoint服務器實現(xiàn)了高效入侵，突顯了勒索攻擊組織在新漏洞利用上的積極態(tài)勢。

2025年持續(xù)活躍的Weaxor勒索軟件家族，其主流變種的加密后綴已更新為.roxaew。此家族在保持每天變更代碼混淆過的攻擊載荷與多驅動加載的基礎上，與銀狐木馬家族同步新增了針對CVE-2024-51324漏洞驅動的利用行為，這表明，以金錢獲利目標為主的黑產組織在選擇對抗手段上呈現(xiàn)出趨同態(tài)勢。

以下是本月值得關注的部分熱點：

Phobos勒索軟件終被破解，360國內率先支持

SafePay勒索軟件攻擊導致的Ingram Micro中斷

俄羅斯職業(yè)籃球運動員因涉嫌參與勒索軟件攻擊而被捕

基于對360反勒索服務數(shù)據(jù)的分析研判，360數(shù)字安全集團高級威脅研究分析中心（CCTGA勒索軟件防范應對工作組成員）發(fā)布本報告。

感染數(shù)據(jù)分析

本月勒索軟件受害者設備所中病毒家族進行統(tǒng)計：Weaxor家族占比50.70%居首位，第二的是Wmansvcs占比14.42%，Beast家族以7.91%位居第三。

圖1. 2025年7月勒索軟件家族占比

對本月受害者所使用的操作系統(tǒng)進行統(tǒng)計，位居前三的是：Windows 10、Windows Server 2008以及Windows Server 2012。

圖2. 2025年7月勒索軟件入侵操作系統(tǒng)占比

2025年7月被感染的系統(tǒng)中桌面系統(tǒng)和服務器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型桌面PC大幅領先服務器。

圖3. 2025年7月勒索軟件入侵操作系統(tǒng)類型占比

勒索軟件熱點事件

Phobos勒索軟件終被破解，360國內率先支持

近日，國際執(zhí)法機構公布了全球范圍內廣泛傳播的Phobos及其變種8Base的解密信息。360反病毒團隊第一時間對該勒索家族樣本開展深入分析，并基于獲取的14個RSA私鑰，在國內率先實現(xiàn)了對該勒索家族的解密支持，同時開發(fā)工具對多個Phobos及8Base變種實現(xiàn)有效解密。目前，360解密大師是國內支持勒索軟件解密最為全面的勒索解密工具。

如有被Phobos或8Base勒索家族加密數(shù)據(jù)的用戶，歡迎聯(lián)系360獲取免費的解密協(xié)助。另外，對于以下一些不常見的擴展名文件，也可以聯(lián)系我們嘗試進行解密：

表1. 支持破解的Phobos/8Base勒索軟件擴展名

SafePay勒索軟件攻擊導致的Ingram Micro中斷

IT巨頭，全球最大的C2C技術分銷商和服務提供商之一——Ingram Micro，此前的系統(tǒng)中斷是由SafePay勒索軟件攻擊引起的，該攻擊導致其內部系統(tǒng)關閉。7月3日以來，Ingram Micro的網站和在線訂購系統(tǒng)一直處于癱瘓狀態(tài)，但該公司并未透露問題的原因。據(jù)了解，系統(tǒng)中斷是由7月3日凌晨發(fā)生的網絡攻擊引起的，其內部員工發(fā)現(xiàn)他們的設備上出現(xiàn)了勒索信息文件。

從勒索信息文件內容看，本次攻擊與SafePay勒索軟件有關，但目前尚不清楚設備是否在攻擊中被加密。應該注意的是，雖然勒索信息聲稱竊取了各種各樣的信息，但這是所有SafePay勒索信息中使用的通用內容，并不代表本次針對Ingram Micro的攻擊一定竊取到了這些信息。

據(jù)知情人士稱，攻擊者是通過其GlobalProtect VPN平臺入侵了Ingram Micro。該公司在發(fā)現(xiàn)攻擊后關閉了內部系統(tǒng)，并通知其員工不要使用公司的GlobalProtect VPN進行訪問。目前，Ingram Micro已確認了攻擊是來源于勒索攻擊。

俄羅斯職業(yè)籃球運動員因涉嫌參與勒索軟件攻擊而被捕

俄羅斯職業(yè)籃球運動員Daniil Kasatkin應美國的要求在法國被捕，罪名是涉嫌充當勒索軟件團伙的談判代表。Daniil Kasatkin是一名俄羅斯籃球運動員，在2019年返回俄羅斯之前，他曾在賓夕法尼亞州立大學短暫打過NCAA籃球。在MBA-MAI的四個賽季中他在離開球隊前出場了172場比賽。

據(jù)法國媒體報道，Kasatkin于6月21日與未婚妻一起抵達法國后，在巴黎戴高樂機場被捕。此次逮捕是美國國際逮捕令的一部分，因為他被指控為勒索軟件團伙的談判代表。

Kasatkin現(xiàn)在被拘留，而美國正在尋求引渡他并面臨“共謀實施計算機欺詐”和“計算機欺詐共謀”的指控。他的律師聲稱，Kasatkin沒有犯下這些罪行，這些問題與他購買的一臺二手電腦有關。

雖然媒體并未披露勒索軟件團伙的名稱，但據(jù)報道，其在2020年至2022年期間參與了對900多家公司的攻擊，其中包括兩個聯(lián)邦機構。此描述與臭名昭著的Conti勒索軟件團伙非常相似，該團伙于2020年作為Ryuk的繼任者出現(xiàn)，并在2022年因數(shù)據(jù)泄露而關閉。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表2. 黑客郵箱

當前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風險也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅包含未能第一時間繳納贖金或拒繳納贖金情況（已經支付贖金的企業(yè)或個人，可能不會出現(xiàn)在這個清單中）。

圖4. 2025年7月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個人。若未發(fā)現(xiàn)數(shù)據(jù)存在泄漏風險的企業(yè)或個人也請第一時間自查，做好數(shù)據(jù)已泄露的準備，采取補救措施。

本月總共有507個組織/企業(yè)遭遇雙重勒索/多重勒索攻擊，其中包含8個中國組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有17個組織/企業(yè)未被標明，因此不在以下表格中。

表3. 受害組織/企業(yè)

系統(tǒng)安全防護數(shù)據(jù)分析

360系統(tǒng)安全產品，目前已加入黑客入侵防護功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

圖5?2025年7月受攻擊系統(tǒng)占比

對2025年7月被攻擊系統(tǒng)所屬地域進行統(tǒng)計，并與之前幾個月采集到的數(shù)據(jù)進行對比發(fā)現(xiàn)，地區(qū)排名和占比變化均不大。數(shù)字經濟發(fā)達地區(qū)仍是攻擊的主要對象。

圖6. 2025年7月國內受攻擊地區(qū)占比排名

通過觀察2025年7月弱口令攻擊態(tài)勢發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

圖7. 2025年7月監(jiān)控到的RDP入侵量

圖8. 2025年7月監(jiān)控到的MS SQL入侵量

圖9. 2025年7月監(jiān)控到的MYSQL入侵量

勒索軟件關鍵詞

以下是本月上榜活躍勒索軟件關鍵詞統(tǒng)計，數(shù)據(jù)來自360勒索軟件搜索引擎。

2roxaew：屬于Weaxor勒索軟件家族，該家族目前的主要傳播方式為：利用各類軟件漏洞利用方式進行投毒，通過powershell加載攻擊載荷并與安全軟件進行內核對抗。

2wxx：同roxaew。

2peng：屬于Wmansvcs家族，高度模仿phobos家族并使用Rust語言編譯，目前僅在國內傳播。該家族的主要傳播方式為：通過暴力破解遠程桌面口令，成功后手動投毒。

2baxia：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為beijing而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令與數(shù)據(jù)庫弱口令，成功后手動投毒。

2bruk：屬于Beast勒索軟件家族，該家族支持多個操作系統(tǒng)平臺傳播。該家族主要的傳播方式為：通過暴力破解遠程桌面口令與數(shù)據(jù)庫弱口令，成功后手動投毒。

2bixi：同baxia。

2mallox：屬于TargetCompany(Mallox）勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關鍵詞。主要通過暴力破解遠程桌面口令成功后手動投毒和SQLGlobeImposter渠道進行傳播，后來增加了漏洞利用的傳播方式。此外360安全大腦監(jiān)控到該家族曾通過匿影僵尸網絡進行傳播。

2888：屬于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。該家族的主要傳播方式為：通過暴力破解遠程桌面口令與數(shù)據(jù)庫口令，成功后手動投毒。

2weaxor：同roxaew。

2wstop： RNTC勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒，同時通過smb共享方式加密其他設備。

圖10?2025年7月反病毒搜索引擎關鍵詞搜索排名

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是CrandCrabV5其次是FreeFix。使用解密大師解密文件的用戶數(shù)量最高的是被Crysis家族加密的設備。

圖11. 2025年7月解密大師解密文件數(shù)及設備數(shù)排名

2025年7月勒索軟件流行態(tài)勢分析

熱點排行

關注我們