2025年9月勒索軟件流行態(tài)勢分析

勒索軟件傳播至今，360反勒索服務(wù)已累計接收到數(shù)萬次勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄漏風(fēng)險不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網(wǎng)安全大腦針對勒索軟件進(jìn)行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2025年9月，全球新增的雙重勒索軟件有The Gentlemen、Coinbase Cartel、ShinyHunters等多個家族，傳統(tǒng)勒索軟件家族新增SnowSoul、HybridPetya、Monrans等多個家族。其中，SnowSoul在中國境內(nèi)有傳播痕跡，HybridPetya繞過UEFI啟動。

本月Weaxor勒索家族在注入系統(tǒng)進(jìn)程后輪詢加載的漏洞驅(qū)動列表中，新增CVE-2025-52915漏洞驅(qū)動、安在遠(yuǎn)控漏洞驅(qū)動。該勒索家族持續(xù)跟蹤開源情報中的漏洞驅(qū)動信息，并迅速將尚未被大多數(shù)安全廠商識別或攔截的漏洞驅(qū)動用于攻擊，以致盲并規(guī)避安全防護(hù)。我們的產(chǎn)品在第一時間檢測并成功攔截了這些用于致盲安全防護(hù)的惡意行為。

以下是本月值得關(guān)注的部分熱點：

新型HybridPetya勒索軟件可以繞過UEFI安全啟動

捷豹路虎在網(wǎng)絡(luò)攻擊后將關(guān)閉時間延長一周

巴拿馬經(jīng)濟(jì)部披露INC勒索軟件的攻擊事件

基于對360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級威脅研究分析中心（CCTGA勒索軟件防范應(yīng)對工作組成員）發(fā)布本報告。

感染數(shù)據(jù)分析

針對本月勒索軟件受害者設(shè)備所中病毒家族進(jìn)行統(tǒng)計：Weaxor家族占比46.24%居首位，第二的是Wmansvcs占比10.22%，LockBit家族以9.68%占比位居第三。

?

圖1. 2025年9月勒索軟件家族占比

對本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計，位居前三的是：Windows 10、Windows Server 2008以及Windows Server 2012。

?

圖2. 2025年9月勒索軟件入侵操作系統(tǒng)占比

2025年9月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型桌面PC小幅領(lǐng)先服務(wù)器。

?

圖3. 2025年9月勒索軟件入侵操作系統(tǒng)類型占比

勒索軟件熱點事件

新型HybridPetya勒索軟件可以繞過UEFI安全啟動

最近發(fā)現(xiàn)的名為HybridPetya的勒索軟件，可以繞過UEFI安全引導(dǎo)功能，在EFI系統(tǒng)分區(qū)上安裝惡意應(yīng)用程序。該款HybridPetya似乎受到早期知名勒索軟件Petya及NotPetya的啟發(fā)，這兩款勒索軟件在2016年至2017年間頗為活躍，其會加密計算機(jī)并阻止Windows在攻擊中啟動，但并不提供恢復(fù)選項。

安全研究人員表示，目前發(fā)現(xiàn)的HybridPetya可能是一個仍在有限范圍內(nèi)測試的早期版本。盡管如此，其具有Secure Bypass功能的UEFI bootkit模塊仍是一個實實在在的威脅。

HybridPetya融合了Petya和NotPetya的特征，包括這些舊惡意軟件的視覺風(fēng)格和攻擊鏈特征。但在其感染的EFI系統(tǒng)分區(qū)中添加了新的東西，例如，利用CVE-2024-7344漏洞繞過安全啟動。HybridPetya會在啟動后確定主機(jī)是否使用帶有GPT分區(qū)的UEFI，并將惡意引導(dǎo)套件放入由多個文件組成的EFI系統(tǒng)分區(qū)中，其中包括配置和驗證文件、修改的引導(dǎo)加載程序、后備UEFI引導(dǎo)加載程序、漏洞利用有效載荷容器以及跟蹤加密進(jìn)度的狀態(tài)文件。

目前已發(fā)現(xiàn)的HybridPetya變種中使用的文件有：

l\EFI\Microsoft\Boot\config（加密標(biāo)志+鍵+nonce+受害者ID）

l\EFI\Microsoft\Boot\verify（用于驗證正確的解密密鑰）

l\EFI\Microsoft\Boot\counter（用于加密群集的進(jìn)度跟蹤器）

l\EFI\Microsoft\Boot\bootmgfw.efi.old（原始引導(dǎo)加載程序的備份）

l\EFI\Microsoft\Boot\cloak.dat（包含安全引導(dǎo)旁路變種中的XORed bootkit）

此外，惡意軟件將\EFI\Microsoft\Boot\bootmgfw.efi替換為易受攻擊的“reloader.efi”，并刪除了\EFI\Boot\boot\bootx64.efi文件。原始的Windows引導(dǎo)加載程序也被保存下來，在成功恢復(fù)的情況下被用于激活，這意味著受害者支付贖金后勒索軟件提供了相應(yīng)的恢復(fù)機(jī)制。一旦加密完成，系統(tǒng)將被引導(dǎo)進(jìn)行重新啟動，并在系統(tǒng)啟動期間向受害者索要贖金——勒索金額為價值1000美元的比特幣。

雖然目前并未發(fā)現(xiàn)HybridPetya的任何實際在野攻擊案例，但類似的項目可能會選擇將PoC武器化，并隨時將其用于對未修補(bǔ)的Windows系統(tǒng)的攻擊。

捷豹路虎在網(wǎng)絡(luò)攻擊后將關(guān)閉時間延長一周

捷豹路虎（JLR）在9月16日宣布，在8月底發(fā)生毀滅性的網(wǎng)絡(luò)攻擊影響其系統(tǒng)之后，停產(chǎn)時間將再延長一周。該汽車制造商自9月2日披露遭到網(wǎng)絡(luò)攻擊以來，一直在努力恢復(fù)運(yùn)營，并稱其生產(chǎn)受到嚴(yán)重干擾。9月初，捷豹路虎還證實攻擊者在攻擊期間竊取了“一些數(shù)據(jù)”并指示工作人員不要報告工作。而在9月16日早些時候，這家汽車巨頭宣布仍在努力重啟運(yùn)營，要到下周才會恢復(fù)生產(chǎn)。

捷豹路虎方面目前尚未回復(fù)媒體關(guān)于該事件及其對客戶潛在影響的置評請求。雖然該制造商證實攻擊者從其網(wǎng)絡(luò)中竊取了信息，但尚未將攻擊行為歸因于某個特定的網(wǎng)絡(luò)犯罪集團(tuán)。然而，一個名為“Scattered Lapsus$ Hunters”的網(wǎng)絡(luò)犯罪組織已宣稱對網(wǎng)絡(luò)攻擊負(fù)責(zé)，該網(wǎng)絡(luò)犯罪組織在Telegram頻道上發(fā)布了JLR內(nèi)部的SAP系統(tǒng)截屏，并表示他們還在該公司的受損系統(tǒng)上部署了勒索軟件。

該網(wǎng)絡(luò)犯罪組織稱，其是由Scattered Spider、Lapsus$以及ShinyHunters勒索團(tuán)伙相關(guān)的網(wǎng)絡(luò)犯罪分子組成，并對最近的Salesforce數(shù)據(jù)盜竊攻擊負(fù)責(zé)。在這些攻擊中，他們使用社會工程學(xué)攻擊方式入侵了Salesloft Drift OAuth令牌，以竊取眾多知名公司的數(shù)據(jù)，包括Google、Cloudflare、Palo Alto Networks、Tenable及Proofpoint等。

巴拿馬經(jīng)濟(jì)部披露INC勒索軟件的攻擊事件

巴拿馬經(jīng)濟(jì)和財政部（MEF）透露，其內(nèi)部一些計算機(jī)可能在網(wǎng)絡(luò)攻擊中受到損害。政府指出，他們已啟動了應(yīng)對的安全排查程序，并指出該事件已被控制并且沒有影響到對其運(yùn)營至關(guān)重要的核心系統(tǒng)。

MEF表示，個人和機(jī)構(gòu)數(shù)據(jù)均是安全的，所有相關(guān)的預(yù)案措施都已到位，以防止未來發(fā)生事故。

然而，INC勒索軟件團(tuán)伙上周在其數(shù)據(jù)泄露網(wǎng)站上的一篇文章中聲稱，對MEF進(jìn)行了攻擊。黑客稱他們從MEF的系統(tǒng)中竊取了超過1.5TB的數(shù)據(jù)，包括電子郵件、財務(wù)文件、預(yù)算細(xì)節(jié)等。該組織于9月5日將MEF添加到其暗網(wǎng)上的受害者名單中，并以內(nèi)部文件形式泄露數(shù)據(jù)樣本，作為其入侵行為的證據(jù)。

有媒體聯(lián)系了MEF并詢問INC勒索軟件攻擊的真實性，但MEF尚未對此進(jìn)行回復(fù)。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當(dāng)前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風(fēng)險也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個人，可能不會出現(xiàn)在這個清單中）。

?

圖4. 2025年9月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個人。若未發(fā)現(xiàn)數(shù)據(jù)存在泄漏風(fēng)險的企業(yè)或個人也請第一時間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有568個組織/企業(yè)遭遇雙重勒索/多重勒索攻擊，其中包含中國7個組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有7個組織/企業(yè)未被標(biāo)明，因此不在以下表格中。

表2. 受害組織/企業(yè)

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

?

圖5.?2025年9月受攻擊系統(tǒng)占比

對2025年9月被攻擊系統(tǒng)所屬地域進(jìn)行統(tǒng)計，并與前幾個月采集的數(shù)據(jù)進(jìn)行對比發(fā)現(xiàn)，地區(qū)排名和占比變化均不大，數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對象。

?

圖6. 2025年9月國內(nèi)受攻擊地區(qū)占比排名

通過觀察2025年9月弱口令攻擊態(tài)勢發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

?

圖7. 2025年9月監(jiān)控到的RDP入侵量

?

圖8. 2025年9月監(jiān)控到的MS SQL入侵量

?

圖9. 2025年9月監(jiān)控到的MYSQL入侵量

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計，數(shù)據(jù)來自360勒索軟件搜索引擎。

2roxaew：屬于Weaxor勒索軟件家族，該家族目前的主要傳播方式為：利用各類軟件漏洞進(jìn)行投毒，通過powershell加載攻擊載荷并注入系統(tǒng)進(jìn)程，多輪加載不同的漏洞驅(qū)動與安全軟件進(jìn)行內(nèi)核對抗。

2peng：屬于Wmansvcs家族，高度模仿phobos家族并使用Rust語言編譯，目前僅在國內(nèi)傳播。該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令，成功后手動投毒。

2888：屬于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫口令，成功后手動投毒。

2baxia：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為beijing而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫弱口令成功后手動投毒。

2bixi：同baxia。

2spmodvf：目前此擴(kuò)展名反饋的用戶均未提供溯源信息，暫未研判家族歸屬與攻擊方式。

2taps：屬于Paradise勒索軟件家族，該家族目前的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫弱口令成功后手動投毒。

2weaxor：同roxaew。

2mallox：屬于TargetCompany（Mallox）勒索軟件家族，由于被加密文件后綴會被修改為mallox而成為關(guān)鍵詞。主要通過暴力破解遠(yuǎn)程桌面口令成功后手動投毒和SQLGlobeImposter渠道進(jìn)行傳播，后來增加了漏洞利用的傳播方式。此外，360安全大腦監(jiān)控到該家族曾通過匿影僵尸網(wǎng)絡(luò)進(jìn)行傳播。

2devicdata：同mallox

?

圖10.?2025年9月反病毒搜索引擎關(guān)鍵詞搜索排名

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是Phobos家族，其次是Crysis家族。使用解密大師解密文件的用戶數(shù)量最大的是被Crysis家族加密的設(shè)備。

?

圖11. 2025年9月解密大師解密文件數(shù)及設(shè)備數(shù)排名