2025年3月勒索软件流行态势分析

勒索软件流行态势分析2025 年 3 月三六零数字安全科技集团 | 高级威胁研究分析中心360 数字安全——数字安全的领导者第 1 页勒索软件传播至今，360 反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360 全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供 360 反勒索服务。2025 年 3 月，全球新增的双重勒索软件家族有 Babuk2、Crazyhunter、Nightspire、Ralord、VanHelsing、Weyhro、Skira、Secp0、Arkana 等。其中 Babuk2 是 Babuk 勒索软件的后续变种，运营者对 Babuk 勒索家族进行了仿冒。主要针对 VMware ESXi 平台实施攻击，采用 AES+RSA 加密算法及双重勒索策略（加密文件并窃取数据），Babuk 代码因在暗网部分泄露而增强了传播威胁。CrazyHunter 最早现身于 2025 年 2 月，其使用 Prince 家族泄露源码构建。利用污染的 USB 设备作为初始攻击载体。当前该家族攻击的 10 个目标全部为中国台湾企业，涉及教育、医疗、体育、科技等行业。NightSpire 攻击主要利用 FortiOS 漏洞（CVE-2024-55591）获取管理员权限进行初始访问，随后进行横向移动攻击。喜好对受害者进行施压，要求 2 天内支付并公开拒绝付款企业信息以削弱受害企业声誉。RALord 利用 Python/Rust 开发加密器，以 RC4+PRGA 算法加密文件（扩展名.RALord），重点攻击 Fortinet、SonicWall、Cisco 等企业设备，并偏好暴力破解与 CVE 漏洞利用；该组织以高分成比例吸引附属机构，提供工具链与暗网服务，疑似关联已关闭的 RAWorld（曾用 Go 存储样本，与停运的 FunkSec 代码部分相似）。VanHelsing 勒索家族采用 C++编写，支持 Windows、Linux、BSD、ARM、ESXi 系统，具备跨平台威胁能力。运营方要求加盟者禁止攻击独联体国家，并通过区块链验证的5000 美元保证金准入（优质攻击者可豁免）。加盟者分成 80%，运营方抽取 20%。360 数字安全——数字安全的领导者第 2 页以下是本月值得关注的部分热点：CISA 称 Medusa 勒索软件攻击了 300 多个关键基础设施组织EncryptHub 利用 Windows 的 0day 漏洞部署勒索软件勒索软件从网络摄像头对网络进行加密以绕过 EDR基于对 360 反勒索服务数据的分析研判，360 数字安全集团高级威胁研究分析中心(CCTGA 勒索软件防范应对工作组成员）发布本报告。360 数字安全——数字安全的领导者第 3 页感染数据分析针对本月勒索软件受害者设备所中病毒家族进行统计：Weaxor 家族占比 35.97%居首位，第二的是 RNTC 占比 22.30%的，Makop 家族以 15.51%位居第三。其中：Weaxor 家族最早出现于 2024 年 11 月，是 Mallox 家族的变种版本。该团伙重点攻击国内的用友 NC、亿赛通、蓝凌、明源、智邦、灵当、致远 OA、SQLServer 等Web 应用和数据库，针对部分机器投递 CobaltStrike 进行远程控制，针对部分机器投递勒索病毒。自 2025 年 1 月起此家族持续霸榜 Top1，赎金范围从 8 千到 1.5 万人民币间波动。图 1. 2025 年 3 月勒索软件家族占比360 数字安全——数字安全的领导者第 4 页对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows 7以及 Windows Server 2012。图 2. 2025 年 3 月勒索软件入侵操作系统占比2025 年 3 月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌面 PC 大幅领先服务器，NAS 平台以内网 SMB 共享加密为主。图 3. 2025 年 3 月勒索软件入侵操作系统类型占比360 数字安全——数字安全的领导者第 5 页勒索软件热点事件CISA 称 Medusa 勒索软件攻击了 300 多个关键基础设施组织美国网络安全和基础设施安全局（CISA）表示，截至上个月，Medusa 勒索软件攻击行动已影响到美国关键基础设施领域的 300 多家机构。这一情况是在 CISA 与美国联邦调查局（FBI）以及多州信息共享与分析中心（MS-ISAC）近日联合发布的一份公告中披露的。CISA、FBI 和 MS-ISAC 在 3 月 11 日发出警告称：“截至 2025 年 2 月，Medusa 勒索软件的开发者及其关联方已影响到来自多个关键基础设施领域的 300 多个受害者，受影响的行业包括医疗、教育、法律、保险、科技和制造业。”……“FBI、CISA 和 MS-ISAC鼓励各机构实施本公告‘缓解措施’部分中的建议，以降低 Medusa 勒索软件事件发生的可能性并减轻其影响。”正如公告所解释的，为防范 Medusa 勒索软件攻击，建议防御者采取以下措施：修复已知的安全漏洞，确保操作系统、软件和固件在合理时间内完成补丁更新。对网络进行分段，限制受感染设备与机构内其他设备之间的横向移动。过滤网络流量，阻止来自未知或不可信源对内部系统远程服务的访问。Medusa 勒索软件大约在四年前，即 2021 年 1 月首次出现。但该犯罪团伙的活动直到两年后的 2023 年才开始增多。当时，他们推出了 Medusa Blog 数据泄露网站，以被盗数据为筹码施压受害者支付赎金。自出现以来，该团伙声称在全球有 400 多个受害者。2023 年 3 月，在宣称对明尼阿波利斯公立学校区（MPS）发动攻击并分享被盗数据视频后，该团伙引起了媒体的关注。 2023 年 11 月，丰田汽车公司旗下的丰田金融服务公司拒绝支付 800 万美元的赎金要求并通知客户数据泄露后，该团伙还在其暗网勒索门户上泄露了据称从该公司窃取的文件。360 数字安全——数字安全的领导者第 6 页EncryptHub 利用 Windows 的 0day 漏洞部署勒索软件名为 EncryptHub 的攻击组织与利用本月修补的 Microsoft 管理控制台漏洞的Windows 系统 0day 攻击有关。研究人员发现，此安全功能绕过（CVE-2025-26633）存在于易受攻击设备上的 MSC文件处理方式中。攻击者可以利用该漏洞来规避 Windows 文件信誉保护并执行代码，因为在未修补的设备上加载意外的 MSC 文件之前，用户不会收到警告。研究人员在向 Microsoft 报告漏洞之前发现的攻击中，EncryptHub（也称为 WaterGamayun 或 Larva-208）使用编号为 CVE-2025-26633 的 0day 漏洞来执行恶意代码并从受感染的系统中提取数据。在整个攻击活动中，攻击组织部署了多个与之前的EncryptHub 攻击