勒索軟件傳播至今，360反勒索服務(wù)已累計接收到數(shù)萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網(wǎng)安全大腦針對勒索軟件進(jìn)行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2025年3月，全球新增的雙重勒索軟件家族有Babuk2、Crazyhunter、Nightspire、Ralord、VanHelsing、Weyhro、Skira、Secp0、Arkana等。

其中Babuk2是Babuk勒索軟件的后續(xù)變種，運營者對Babuk勒索家族進(jìn)行了仿冒。主要針對VMware ESXi平臺實施攻擊，采用AES+RSA加密算法及雙重勒索策略（加密文件并竊取數(shù)據(jù)），Babuk代碼因在暗網(wǎng)部分泄露而增強(qiáng)了傳播威脅。

CrazyHunter最早現(xiàn)身于2025年2月，其使用Prince家族泄露源碼構(gòu)建。利用污染的USB設(shè)備作為初始攻擊載體。當(dāng)前該家族攻擊的10個目標(biāo)全部為中國臺灣企業(yè)，涉及教育、醫(yī)療、體育、科技等行業(yè)。

NightSpire攻擊主要利用FortiOS漏洞（CVE-2024-55591）獲取管理員權(quán)限進(jìn)行初始訪問，隨后進(jìn)行橫向移動攻擊。喜好對受害者進(jìn)行施壓，要求2天內(nèi)支付并公開拒絕付款企業(yè)信息以削弱受害企業(yè)聲譽。

RALord利用Python/Rust開發(fā)加密器，以RC4+PRGA算法加密文件（擴(kuò)展名.RALord），重點攻擊Fortinet、SonicWall、Cisco等企業(yè)設(shè)備，并偏好暴力破解與CVE漏洞利用；該組織以高分成比例吸引附屬機(jī)構(gòu)，提供工具鏈與暗網(wǎng)服務(wù)，疑似關(guān)聯(lián)已關(guān)閉的RA World（曾用Go存儲樣本，與停運的FunkSec代碼部分相似）。

VanHelsing勒索家族采用C++編寫，支持 Windows、Linux、BSD、ARM、ESXi系統(tǒng)，具備跨平臺威脅能力。運營方要求加盟者禁止攻擊獨聯(lián)體國家，并通過區(qū)塊鏈驗證的5000美元保證金準(zhǔn)入（優(yōu)質(zhì)攻擊者可豁免）。加盟者分成80%，運營方抽取20%。

以下是本月值得關(guān)注的部分熱點：

• CISA稱Medusa勒索軟件攻擊了300多個關(guān)鍵基礎(chǔ)設(shè)施組織

• EncryptHub利用Windows的0day漏洞部署勒索軟件

• 勒索軟件從網(wǎng)絡(luò)攝像頭對網(wǎng)絡(luò)進(jìn)行加密以繞過EDR

基于對360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對工作組成員）發(fā)布本報告。

感染數(shù)據(jù)分析

針對本月勒索軟件受害者設(shè)備所中病毒家族進(jìn)行統(tǒng)計：Weaxor家族占比35.97%居首位，第二的是RNTC占比22.30%的，Makop家族以15.51%位居第三。

其中：Weaxor家族最早出現(xiàn)于2024年11月，是Mallox家族的變種版本。該團(tuán)伙重點攻擊國內(nèi)的用友NC、億賽通、藍(lán)凌、明源、智邦、靈當(dāng)、致遠(yuǎn)OA、SQLServer等Web應(yīng)用和數(shù)據(jù)庫，針對部分機(jī)器投遞CobaltStrike進(jìn)行遠(yuǎn)程控制，針對部分機(jī)器投遞勒索病毒。

自2025年1月起此家族持續(xù)霸榜Top1，贖金范圍從8千到1.5萬人民幣間波動。

圖1. 2025年3月勒索軟件家族占比

對本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計，位居前三的是：Windows 10、Windows 7以及Windows Server 2012。

圖2. 2025年3月勒索軟件入侵操作系統(tǒng)占比

2025年3月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型桌面PC大幅領(lǐng)先服務(wù)器，NAS平臺以內(nèi)網(wǎng)SMB共享加密為主。

圖3. 2025年3月勒索軟件入侵操作系統(tǒng)類型占比?

勒索軟件熱點事件

CISA稱Medusa勒索軟件攻擊了300多個關(guān)鍵基礎(chǔ)設(shè)施組織

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）表示，截至上個月，Medusa勒索軟件攻擊行動已影響到美國關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的300多家機(jī)構(gòu)。這一情況是在CISA與美國聯(lián)邦調(diào)查局（FBI）以及多州信息共享與分析中心（MS-ISAC）近日聯(lián)合發(fā)布的一份公告中披露的。

CISA、FBI和MS-ISAC在3月11日發(fā)出警告稱：“截至2025年2月，Medusa勒索軟件的開發(fā)者及其關(guān)聯(lián)方已影響到來自多個關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的300多個受害者，受影響的行業(yè)包括醫(yī)療、教育、法律、保險、科技和制造業(yè)?！薄癋BI、CISA和MS-ISAC鼓勵各機(jī)構(gòu)實施本公告‘緩解措施’部分中的建議，以降低Medusa勒索軟件事件發(fā)生的可能性并減輕其影響?！?/span>

正如公告所解釋的，為防范Medusa勒索軟件攻擊，建議防御者采取以下措施：

l? 修復(fù)已知的安全漏洞，確保操作系統(tǒng)、軟件和固件在合理時間內(nèi)完成補丁更新。

l? 對網(wǎng)絡(luò)進(jìn)行分段，限制受感染設(shè)備與機(jī)構(gòu)內(nèi)其他設(shè)備之間的橫向移動。

l? 過濾網(wǎng)絡(luò)流量，阻止來自未知或不可信源對內(nèi)部系統(tǒng)遠(yuǎn)程服務(wù)的訪問。

Medusa勒索軟件大約在四年前，即2021年1月首次出現(xiàn)。但該犯罪團(tuán)伙的活動直到兩年后的2023年才開始增多。當(dāng)時，他們推出了Medusa Blog數(shù)據(jù)泄露網(wǎng)站，以被盜數(shù)據(jù)為籌碼施壓受害者支付贖金。自出現(xiàn)以來，該團(tuán)伙聲稱在全球有400多個受害者。2023年3月，在宣稱對明尼阿波利斯公立學(xué)校區(qū)（MPS）發(fā)動攻擊并分享被盜數(shù)據(jù)視頻后，該團(tuán)伙引起了媒體的關(guān)注。 2023年11月，豐田汽車公司旗下的豐田金融服務(wù)公司拒絕支付800萬美元的贖金要求并通知客戶數(shù)據(jù)泄露后，該團(tuán)伙還在其暗網(wǎng)勒索門戶上泄露了據(jù)稱從該公司竊取的文件。

EncryptHub利用Windows的0day漏洞部署勒索軟件

名為EncryptHub的攻擊組織與利用本月修補的Microsoft管理控制臺漏洞的Windows系統(tǒng)0day攻擊有關(guān)。

研究人員發(fā)現(xiàn)，此安全功能繞過（CVE-2025-26633）存在于易受攻擊設(shè)備上的MSC文件處理方式中。攻擊者可以利用該漏洞來規(guī)避Windows文件信譽保護(hù)并執(zhí)行代碼，因為在未修補的設(shè)備上加載意外的MSC文件之前，用戶不會收到警告。

研究人員在向Microsoft報告漏洞之前發(fā)現(xiàn)的攻擊中，EncryptHub（也稱為Water Gamayun或Larva-208）使用編號為CVE-2025-26633的0day漏洞來執(zhí)行惡意代碼并從受感染的系統(tǒng)中提取數(shù)據(jù)。在整個攻擊活動中，攻擊組織部署了多個與之前的EncryptHub攻擊相關(guān)的惡意負(fù)載，包括EncryptHub竊取程序、DarkWisp后門、SilentPrism后門、Stealc、Rhadamanthys竊取程序和基于PowerShell的MSC EvilTwin木馬加載程序。

此外，EncryptHub還會部署勒索軟件載荷，其主要合作的勒索組織為RansomHub和BlackSuit。

值得一提的是，EncryptHub攻擊組織在廣泛進(jìn)行各類攻擊活動外，還以“SkorikARI”名義向微軟提交漏洞（如CVE-2025-24071、CVE-2025-24061），并獲得了微軟官方致謝。

勒索軟件從網(wǎng)絡(luò)攝像頭對網(wǎng)絡(luò)進(jìn)行加密以繞過EDR

有人發(fā)現(xiàn)Akira勒索軟件團(tuán)伙利用一臺未受保護(hù)的網(wǎng)絡(luò)攝像頭對受害者的網(wǎng)絡(luò)發(fā)動加密攻擊，成功繞過了原本在Windows系統(tǒng)中阻止加密程序的端點檢測與響應(yīng)（EDR）系統(tǒng)。

值得注意的是，Akira團(tuán)伙最初試圖在Windows系統(tǒng)上部署加密程序，但被受害者的EDR解決方案攔截，之后才轉(zhuǎn)而利用網(wǎng)絡(luò)攝像頭發(fā)動攻擊。這些攻擊者最初是通過目標(biāo)公司暴露在外的遠(yuǎn)程訪問解決方案進(jìn)入企業(yè)網(wǎng)絡(luò)的，很可能是利用了被盜的憑證或通過暴力破解密碼得逞。進(jìn)入網(wǎng)絡(luò)后，他們部署了合法的遠(yuǎn)程訪問工具“AnyDesk”，竊取了該公司的數(shù)據(jù)，用于實施雙重勒索攻擊。接著，Akira團(tuán)伙使用遠(yuǎn)程桌面協(xié)議（RDP）進(jìn)行橫向移動，在部署勒索軟件有效負(fù)載之前，盡可能地將其控制范圍擴(kuò)展到更多系統(tǒng)。最終，攻擊者投放了一個受密碼保護(hù)的ZIP文件（win.zip ），其中包含勒索軟件有效載荷（win.exe），但受害者的EDR工具檢測到并隔離了該文件，基本上阻止了這次攻擊。

此次攻擊失敗后，Akira團(tuán)伙開始探尋其他攻擊途徑，他們對網(wǎng)絡(luò)進(jìn)行掃描，尋找可用于加密文件的其他設(shè)備，結(jié)果發(fā)現(xiàn)了一臺網(wǎng)絡(luò)攝像頭和指紋掃描儀。攻擊者選擇網(wǎng)絡(luò)攝像頭是因為它容易受到遠(yuǎn)程shell訪問攻擊，并且其視頻流可以被未經(jīng)授權(quán)查看。此外，該攝像頭運行的是基于Linux的操作系統(tǒng)，與Akira的Linux加密程序兼容，而且它沒有安裝EDR代理，因此是遠(yuǎn)程加密網(wǎng)絡(luò)共享文件的理想設(shè)備。

安全分析團(tuán)隊證實，攻擊者利用網(wǎng)絡(luò)攝像頭的Linux操作系統(tǒng)掛載了該公司其他設(shè)備的Windows SMB網(wǎng)絡(luò)共享。然后，他們在網(wǎng)絡(luò)攝像頭上啟動了Linux加密程序，并通過SMB協(xié)議對網(wǎng)絡(luò)共享進(jìn)行加密，成功繞過了網(wǎng)絡(luò)上的EDR軟件。

這個案例表明，EDR防護(hù)并非萬能的安全解決方案，企業(yè)不應(yīng)僅僅依賴它來防范攻擊。此外，物聯(lián)網(wǎng)設(shè)備不像計算機(jī)那樣受到密切監(jiān)控和維護(hù)，但仍然構(gòu)成重大風(fēng)險。因此，這類設(shè)備應(yīng)與生產(chǎn)服務(wù)器和工作站等更為敏感的網(wǎng)絡(luò)隔離開來。同樣重要的是，所有設(shè)備（包括物聯(lián)網(wǎng)設(shè)備）都應(yīng)定期更新固件以修復(fù)可能在攻擊中被利用的已知漏洞。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當(dāng)前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風(fēng)險也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個人，可能不會出現(xiàn)在這個清單中）。

圖4. 2025年3月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險的企業(yè)或個人也請第一時間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補救措施。

本月總共有634個組織/企業(yè)遭遇勒索攻擊，其中包含中國16個組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有2個組織/企業(yè)未被標(biāo)明，因此不在以下表格中。

表2. 受害組織/企業(yè)

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

圖5 2025年3月受攻擊系統(tǒng)占比

對2025年3月被攻擊系統(tǒng)所屬地域統(tǒng)計發(fā)現(xiàn)，與之前幾個月采集到的數(shù)據(jù)進(jìn)行對比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對象。

圖6. 2025年3月國內(nèi)受攻擊地區(qū)占比排名

通過觀察2025年3月弱口令攻擊態(tài)勢發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

圖7. 2025年3月監(jiān)控到的RDP入侵量

圖8. 2025年3月監(jiān)控到的MS SQL入侵量

圖9. 2025年3月監(jiān)控到的MYSQL入侵量?

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計，數(shù)據(jù)來自360勒索軟件搜索引擎。

2? wxr：屬于Weaxor勒索軟件家族，該家族目前的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動投毒，以及類軟件漏洞利用方式進(jìn)行投毒。

2? wstop： RNTC勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動投毒，同時通過smb共享方式加密其他設(shè)備。

2? bixi：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為beijing而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫弱口令成功后手動投毒。

2? mkp: 屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動投毒。

2? sstop：同wstop。

2? baxia：同bixi。

2? 888：屬于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動投毒。devicdata：同hmallox。

2? wex：同wxr。

2? wxx：同wxr。

2? devicdata：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關(guān)鍵詞。該分支主要通過暴力破解遠(yuǎn)程桌面口令成功后手動投毒。

圖10 2025年3月反病毒搜索引擎關(guān)鍵詞搜索排名

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是Stop其次是FreeFix。使用解密大師解密文件的用戶數(shù)量最高的是被Crysis家族加密的設(shè)備。

圖11. 2025年3月解密大師解密文件數(shù)及設(shè)備數(shù)排名