2025年11月勒索軟件流行態(tài)勢分析

2025-12-03 20:06:09
我要分享


微信掃碼分享

勒索軟件傳播至今，360反勒索服務已累計接收到數(shù)萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄漏風險不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網(wǎng)安全大腦針對勒索軟件進行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務。

2025年11月，全球新增的雙重勒索軟件有Tridentlocker家族，傳統(tǒng)勒索軟件新增QuickLock、Kazu、BlackHeolas等多個家族。

近半年在國內(nèi)持續(xù)熱門的Top2家族Wmansvcs進行了一次變種，加密后綴由之前的.peng變成了.wman，攻擊方式依舊是遠程桌面協(xié)議登錄投毒并同時加密共享設備。

本月360發(fā)布了僅在國內(nèi)傳播的SnowSoul勒索軟件技術分析與獨家解密方案，充分體現(xiàn)了360反勒索服務的技術能力與長期守護的決心。

以下是本月值得關注的部分熱點：

OnSolve CodeRED網(wǎng)絡攻擊擾亂全美緊急警報系統(tǒng)

《華盛頓郵報》數(shù)據(jù)泄露事件影響近10萬名員工和承包商

媒體巨頭日經(jīng)新聞通報數(shù)據(jù)泄露事件影響17000人

基于對360反勒索服務數(shù)據(jù)的分析研判，360數(shù)字安全集團高級威脅研究分析中心（CCTGA勒索軟件防范應對工作組成員）發(fā)布本報告。

感染數(shù)據(jù)分析

針對本月勒索軟件受害者設備所中病毒家族進行統(tǒng)計：Weaxor家族占比33.54%居首位，第二Wmansvcs家族占比26.08%，LockBit家族占比11.8%位居第三。

圖1. 2025年11月勒索軟件家族占比

對本月受害者所使用的操作系統(tǒng)進行統(tǒng)計，位居前三的是：Windows 10、Windows Server 2012以及Windows Server 2008。

圖2. 2025年11月勒索軟件入侵操作系統(tǒng)占比

2025年11月被感染的系統(tǒng)中，桌面系統(tǒng)和服務器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型服務器小幅領先桌面PC。

圖3. 2025年11月勒索軟件入侵操作系統(tǒng)類型占比

勒索軟件熱點事件

OnSolve CodeRED網(wǎng)絡攻擊擾亂全美緊急警報系統(tǒng)

OnSolve CodeRED平臺遭遇網(wǎng)絡攻擊，導致美國各州和地方政府、警察部門、消防機構等公共安全單位緊急通知系統(tǒng)癱瘓。Crisis24公司確認，該平臺遭到網(wǎng)絡犯罪集團攻擊，迫使其停用舊版CodeRED系統(tǒng)，并開始恢復新的CodeRED系統(tǒng)。雖然攻擊只影響了CodeRED平臺，并未波及其他系統(tǒng)，但攻擊者從平臺竊取了大量用戶數(shù)據(jù)，包括姓名、地址、電子郵件、電話號碼和密碼。Crisis24表示，雖然數(shù)據(jù)被竊取，但目前沒有證據(jù)表明數(shù)據(jù)已公開發(fā)布。

同時，Crisis24的調(diào)查顯示，黑客使用了INC Ransom勒索軟件家族，并于2025年11月1日入侵OnSolve系統(tǒng)，11月10日加密文件。勒索集團要求支付贖金，但因未收到贖金，黑客已將偷取的數(shù)據(jù)出售。數(shù)據(jù)泄露后，客戶被建議重置CodeRED賬戶的密碼。該勒索軟件家族自2023年7月起活躍，已攻擊多個行業(yè)的組織，包括教育、醫(yī)療、政府等。

《華盛頓郵報》數(shù)據(jù)泄露事件影響近10萬名員工和承包商

《華盛頓郵報》近日通知近10000名員工和承包商，他們的部分個人和財務數(shù)據(jù)在Oracle數(shù)據(jù)泄露事件中遭到曝光。攻擊發(fā)生在2025年7月10日至8月22日之間，黑客利用Oracle E-Business Suite軟件中的零日漏洞侵入了《華盛頓郵報》的網(wǎng)絡。該軟件廣泛用于企業(yè)資源規(guī)劃（ERP），包括人力資源、財務和供應鏈管理。黑客竊取了敏感數(shù)據(jù)，并在9月末嘗試向《華盛頓郵報》勒索。調(diào)查顯示，攻擊者利用這一漏洞侵入了多個大公司，包括哈佛大學、美國航空子公司Envoy Air和日立旗下的GlobalLogic。

根據(jù)《華盛頓郵報》的調(diào)查，約9,720名員工和承包商的個人信息被泄露，包括姓名、銀行賬戶信息、社保號碼、稅號和身份證號。受影響者已獲得為期12個月的免費身份保護服務，并被建議凍結信用檔案和設置欺詐警報。

盡管攻擊者未被明確指名，但已知Clop勒索軟件團伙與這些攻擊事件相關，該團伙利用了現(xiàn)在被追蹤為CVE-2025-61884的零日漏洞。值得注意的是，今年早些時候，《華盛頓郵報》的記者電子郵件賬戶也曾遭到外國國家行為者的攻擊，且兩起事件似乎有某種聯(lián)系。

媒體巨頭日經(jīng)新聞通報數(shù)據(jù)泄露事件影響17000人

日本媒體巨頭日經(jīng)（Nikkei）近日報告了一起數(shù)據(jù)泄露事件，涉及超過17,000名員工和商業(yè)合作伙伴。該公司透露，攻擊者通過盜取員工計算機感染惡意軟件后獲取的認證憑證，成功訪問了日經(jīng)的Slack消息平臺。泄露的個人信息包括17,368名Slack用戶的姓名、電子郵件地址和聊天記錄。

日經(jīng)在9月發(fā)現(xiàn)了此次安全漏洞后，立即采取了安全措施，包括強制修改密碼等。盡管事件的規(guī)模較大，但日經(jīng)表示泄露的信息不符合日本《個人信息保護法》的報告要求，因此沒有法律強制報告。但公司仍自愿向日本個人信息保護委員會通報，并強調(diào)透明度和事件的“重要性”。

日經(jīng)還表示，泄露的數(shù)據(jù)不包括機密消息源或報道活動相關的信息，且用于新聞工作的個人數(shù)據(jù)未受影響。此次事件顯示出日經(jīng)對個人信息管理的重視，承諾加強管理以防止類似事件再次發(fā)生。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風險也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個人，可能不會出現(xiàn)在這個清單中）。

圖4. 2025年11月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個人。若未發(fā)現(xiàn)數(shù)據(jù)存在泄漏風險的企業(yè)或個人也請第一時間自查，做好數(shù)據(jù)已被泄露準備，采取補救措施。

本月總共有696個組織/企業(yè)遭遇雙重勒索/多重勒索攻擊，其中包含中國8個組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有22個組織/企業(yè)未被標明，因此不在以下表格中。

表2. 受害組織/企業(yè)

系統(tǒng)安全防護數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，具有黑客入侵防護功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server?2008、Windows 7以及Windows 10。

圖5?2025年11月受攻擊系統(tǒng)占比

對2025年11月被攻擊系統(tǒng)所屬地域統(tǒng)計發(fā)現(xiàn)，與之前幾個月采集到的數(shù)據(jù)進行對比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟發(fā)達地區(qū)仍是攻擊的主要對象。

圖6. 2025年11月國內(nèi)受攻擊地區(qū)占比排名

通過觀察2025年11月弱口令攻擊態(tài)勢發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

圖7. 2025年11月監(jiān)控到的RDP入侵量

圖8. 2025年11月監(jiān)控到的MS SQL入侵量

圖9. 2025年11月監(jiān)控到的MYSQL入侵量

勒索軟件關鍵詞

以下是本月上榜活躍勒索軟件關鍵詞統(tǒng)計，數(shù)據(jù)來自360勒索軟件搜索引擎。

2wax：屬于Weaxor勒索軟件家族，該家族目前的主要傳播方式為：利用各類軟件漏洞利用方式進行投毒，通過powershell加載攻擊載荷并注入系統(tǒng)進程多輪加載不同的漏洞驅(qū)動與安全軟件進行內(nèi)核對抗。部分版本會通過暴力破解登錄數(shù)據(jù)庫后植入Anydesk遠控進行手動投毒。

2bixi：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為beijing而成為關鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令與數(shù)據(jù)庫弱口令成功后手動投毒。

2roxaew：同wax。

2pdmkzc3cx：屬于LockBit家族，以LockBit家族泄露代碼為基礎開發(fā)的國內(nèi)傳播版本。該家族的主要傳播方式為：通過暴力破解遠程桌面口令與數(shù)據(jù)庫口令，成功后手動投毒。

2reco：屬于Beast勒索軟件家族，該家族的傳播方式多樣，具備暴力破解、漏洞利用、共享加密等多種攻擊方式，同時具備跨平臺加密能力。

2peng：屬于Wmansvcs家族，高度模仿phobos家族并使用Rust語言編譯，目前僅在國內(nèi)傳播。該家族的主要傳播方式為：通過暴力破解遠程桌面口令，成功后手動投毒。

2wstop：屬于RNTC勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒，同時通過smb共享方式加密其他設備。

2babylocker：目前此擴展名反饋的用戶均未提供溯源信息，暫未研判家族歸屬和攻擊方式。

2helper：屬于TargetOwner勒索軟件家族。該家族的主要傳播方式為：通過暴力破解遠程桌面口令與數(shù)據(jù)庫口令，成功后手動投毒。

2taps：屬于Paradise勒索軟件家族，該家族目前的主要傳播方式為：通過暴力破解遠程桌面口令與數(shù)據(jù)庫弱口令成功后手動投毒。

2nezha：同reco?

圖10?2025年11月反病毒搜索引擎關鍵詞搜索排名

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是Phobos，其次是FreeFix。使用解密大師解密文件的用戶，數(shù)量最高的是被Crysis家族加密的設備。

圖11. 2025年11月解密大師解密文件數(shù)及設備數(shù)排名

2025年11月勒索軟件流行態(tài)勢分析

熱點排行

關注我們