360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器2025年8月勒索软件流行态势分析
- 2025-09-04 18:15:11
勒索软件传播至今,360反勒索服务已累计收到数万次勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄漏风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位监测与防御,为需要帮助的用户提供360反勒索服务。
2025年8月,全球新增的双重勒索软件有Desolator家族,传统勒索软件家族新增Cephalus、Pear、Charon等家族。本月安全研究人员发现了首款使用AI模型驱动的勒索软件PromptLock,使用Go语言编写,通过Ollama API与本地托管的LLM通信。
目前尚处在演进阶段的PromptLock勒索软件的攻击流程:
1.生成恶意脚本
通过硬编码的提示词,利用大语言模型动态生成跨平台兼容的Lua脚本。这些脚本支持Windows、Linux和MacOS系统。
2.枚举文件系统
生成的Lua脚本会遍历本地文件系统,识别并定位目标文件。
3.检查目标文件
对已识别的文件进行内容分析,筛选出符合条件(如敏感数据或特定文件类型)的目标文件。
4.数据外泄
将筛选后的目标文件通过隐蔽通道外泄至攻击者控制的服务器,可用于后续勒索威胁。
5.文件加密
使用SPECK 128位加密算法对目标文件进行加密,使受害者无法访问原始数据。加密完成后,通常会留下勒索信息要求支付赎金。
此类勒索攻击手法由于Lua脚本的跨平台兼容性,攻击流程在不同操作系统中具有一致性。借助AI的动态生成能力,可能使攻击行为更灵活,例如,根据目标环境调整文件筛选逻辑或加密策略。
360安全大脑预测,后续随着AI能力的扩展,此类勒索软件在用户环境下可能的演进方向将包含:
1. 检测本地系统与软件环境,创建对应环境的漏洞利用脚本,进行提权与持久化。
2. 针对本地环境中使用Lua脚本的游戏与应用软件进行白利用劫持,以绕过绝大部分安全软件检测。
3. 针对自身创建脚本进行混淆,以及利用多种技术方式,尝试致盲、关闭本地的安全防护。
4. 根据本地检测到的环境信息与对攻击目标的画像理解,生成可信度更高的、定制化的勒索信文件与电子邮件。
5. 检测选择非工作时段且无用户操作的时机进行文件加密,同时删除各类企业备份数据,断绝目标及时止损的可能。
以下是本月值得关注的部分热点:
日产确认设计工作室数据泄露并遭Qilin勒索软件
Colt在Warlock勒索软件拍卖文件后确认客户数据被盗
人力资源巨头Workday在Salesforce攻击后披露数据泄露
基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。
感染数据分析
针对本月勒索软件受害者设备所中病毒家族进行统计:Weaxor家族占比51.82%居首位,第二的是Wmansvcs占比13.18%,LockBit家族以8.64%位居第三。
图1. 2025年8月勒索软件家族占比
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2012以及Windows Server 2008。
图2. 2025年8月勒索软件入侵操作系统占比
2025年8月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型桌面PC小幅领先于服务器。
图3. 2025年8月勒索软件入侵操作系统类型占比
勒索软件热点事件
日产确认设计工作室数据泄露并遭Qilin勒索软件勒索
日产日本公司向媒体证实,攻击者在未经授权的情况下访问了其子公司Creative Box Inc.(CBI)的服务器,导致数据泄露。
2025年8月16日,日产签约的设计公司CBI在其数据服务器上检测到可疑访问。该公司立即实施紧急措施,如阻止所有访问服务器等,以减轻风险,并向警方报告了该事件。
而Qilin勒索软件于2025年8月20日在暗网上的勒索门户网站上添加了CBI条目,并声称窃取了所有设计项目,还威胁要将其公之于众,使竞争对手获得优势。同时,攻击者还发布了16张被盗数据的照片,作为他们勒索的证据,这些照片描绘了3D汽车设计、电子表格、文档和汽车内部图像。
日产表示,目前正在对该事件进行调查,但已经证实了数据泄露事件。日产表示,泄露的数据只会影响日产,因为日产是CBI的唯一客户。因此,被盗数据不会暴露客户、承包商或任何其他公司或个人。
Colt在Warlock勒索软件拍卖文件后确认客户数据被盗
英国电信公司Colt Technology Services证实,随着Warlock勒索软件团伙拍卖其窃取到的文件,该公司的部分客户文件已被泄露。这家英国电信和网络服务提供商此前披露其8月12日曾遭到攻击,但这是他们第一次确认数据被盗。该声明是在Warlock集团在Ramp网络犯罪论坛上出售他们声称从Colt窃取100万份文件之后发表的,这些文件以20万美元的价格出售,据称包含财务信息、网络架构数据和客户信息。
媒体已确认论坛帖子中列出的Tox ID与早期版本勒索软件团伙所使用的ID相匹配。虽然目前尚不确定本次对Colt勒索的赎金金额具体是多少,但此前该勒索软件团伙的赎金诉求通常在45万至数百万美元之间。
人力资源巨头Workday在Salesforce攻击后披露数据泄露
在最近的一次社会工程学攻击中,人力资源巨头Workday被攻击者窃取了对第三方客户关系管理(CRM)平台的访问权限后,披露了此次数据泄露事件。8月15日,该公司透露,攻击者可以访问存储在受损的CRM系统上的一些信息,并补充说没有客户账户受到影响。然而,目前此次事件中被窃取的一些业务联系信息已经曝光,包括可用于后续攻击的客户数据——其中重要的是一些常见的商业联系信息,如姓名、电子邮件地址和电话号码,这些数据可能会进一步推动攻击者的社会工程骗局。
在发给可能受影响的客户的另一份通知中,该公司补充说该漏洞大约是在8月6日发现的。攻击者通过短信或电话与员工联系,假装来自人力资源或IT部门,试图诱骗他们泄露账户访问或个人信息。虽然该公司没有直接确认,但据媒体了解,本次事件可能是与ShinyHunters勒索集团相关的一波安全漏洞的一部分,该勒索集团通过社会工程学和语音网络钓鱼攻击Salesforce CRM实例。
黑客信息披露
以下是本月收集到的黑客邮箱信息:
表1. 黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件带来的数据泄露风险也越来越大。以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
图4. 2025年8月通过数据泄露获利的勒索软件家族占比
以下是本月被双重勒索软件家族攻击的企业或个人。未发现数据存在泄漏风险的企业或个人,也请第一时间自查,做好数据已被泄露准备,采取补救措施。
本月共有519个组织/企业遭遇双重勒索/多重勒索攻击,其中,包含中国12个组织/企业遭遇了双重勒索/多重勒索,有12个组织/企业未被标明,因此不在以下表格中。
表2. 受害组织/企业
系统安全防护数据分析
360系统安全产品,目前已加入黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows Server 2008、Windows 7以及Windows 10。
图5 2025年8月受攻击系统占比
对2025年8月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是受攻击的主要对象。
图6. 2025年8月国内受攻击地区占比排名
通过观察2025年8月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。
图7. 2025年8月监控到的RDP入侵量
图8. 2025年8月监控到的MS SQL入侵量
图9. 2025年8月监控到的MYSQL入侵量
勒索软件关键词
以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。
²roxaew
属于Weaxor勒索软件家族,该家族目前的主要传播方式为:利用各类软件漏洞进行投毒,通过powershell加载攻击载荷并与安全软件进行内核对抗。
²weaxor
同roxaew。
²peng
属于Wmansvcs家族,高度模仿phobos家族并使用Rust语言编译,目前仅在国内传播。该家族的主要传播方式为:通过暴力破解远程桌面口令,成功后手动投毒。
²baxia
属于BeijingCrypt勒索软件家族,由于被加密文件后缀会被修改为beijing而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令与数据库弱口令,成功后手动投毒。
²bixi
同baxia。
²wxx
同roxaew。
²enzo
属于ZeroCool勒索软件家族,该家族目前的主要传播方式为:利用各类软件漏洞进行投毒或通过暴力破解远程桌面口令与数据库弱口令,成功后手动投毒。
²mallox
属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令,成功后手动投毒和SQLGlobeImposter渠道进行传播,后来增加了漏洞利用的传播方式。此外,360安全大脑监控到该家族曾通过匿影僵尸网络进行传播。
²mkp
属于Makop勒索软件家族,由于被加密文件后缀会被修改为mkp而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令,成功后手动投毒。
²888
属于Nemesis2024家族,以勒索信中的Nemesis家族字段命名。该家族的主要传播方式为:通过暴力破解远程桌面口令与数据库口令,成功后手动投毒。
图10 2025年8月反病毒搜索引擎关键词搜索排名
解密大师
从解密大师本月解密数据看,解密量最大的是Phobos,其次是Loki。使用解密大师解密文件的用户数量,最高的是被Crysis家族加密的设备。
图11. 2025年8月解密大师解密文件数及设备数排名
京公网安备 11000002000006号