中文版 Global
首页 > 安全资讯 > 正文

2026年2月勒索软件流行态势分析

  • 2026-03-05 14:58:02

勒索软件传播至今,360反勒索服务已累计接收到数万例勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄漏风险不断上升,勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提供360反勒索服务。

2026年2月,全球新增的双重勒索软件有ReynoldsPayloadCipherforceShadowByt3$家族,传统勒索软件家族新增NopNameВнимание、MoniroIronChainEagleLocker等多个家族。

本月在国内持续热门的勒索家族Wmansvcs家族新增了多个远程桌面攻击IP,终结了自20256月以来仅靠唯一IP发起攻击的模式。

本月Mallox家族针对某品牌NAS设备的勒索反馈有所增加,攻击方式以N day漏洞CVE-2023-48795利用为主。提醒使用NAS设备的用户需及时更新厂商的系统版本,修复安装漏洞。

以下是本月值得关注的部分热点:

① T1erOne勒索论坛在监管执法行动后被迅速创建

② 罗马尼亚石油管道运营商Conpet证实在勒索攻击中数据被窃

③ ShinyHunters勒索团伙声称Odido数据泄露事件影响了数百万人

基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员)发布本报告。

安全软件占比分析

360反勒索服务已经存在十年以上,并长期致力于全网勒索病毒攻击的响应、分析、处置、攻防、预警、解密等工作。自2026年1月起,新增安全软件占比统计,主要用于评估当前复杂网络攻防态势下愈发严重的基线安全问题,为勒索相关的攻击事件提供接近真实维度的数据。

本月的勒索反馈中未安装安全软件的占比达到65.33%,正常启用360安全软件的设备占比16%,安装了其他安全软件的设备占比18.67%。在溯源分析中发现,所有安装了360安全软件的反馈设备均未开启相关防护,尚未发现绕过360多维防御体系的勒索攻击。

 

1. 2026年2月勒索软件中招设备中安装的安全软件占比

感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计:Wmansvcs家族占比31.40%居首位,第二的是Weaxor占比16.28%BeijingCrypt家族以13.95%占比位居第三。

 

2. 2026年2月勒索软件家族占比

对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows Server 2012以及Windows 7。

 

3. 2026年2月勒索软件入侵操作系统占比

2026年2月被感染的系统中,桌面系统和服务器系统的占比显示,受攻击的系统类型中,桌面PC领先于服务器,NAS平台攻击行为有所增加。

 

4. 2026年2月勒索软件入侵操作系统类型占比

勒索软件热点事件

T1erOne勒索论坛在监管执法行动后被迅速创建

监管机构在2026年1月28日查封了全球知名的勒索软件论坛RAMP,与该论坛相关的勒索家族包括Conti、Black Basta、LockBit、BlackCat、Hive、Ragnar Locker、DragonForce等。但在2月份就出现了新的勒索论坛T1erOne作为其潜在的继任者。T1erOne是一个封闭论坛,采用邀请与付费会员制模式,要求用户在其他黑产论坛上有攻击经验背书,或支付450美元,同时会向用户强调排他性并进行信誉审查。

 

5. 2026年2月创建的T1erOne勒索论坛 

为了方便快速理解这一运营模式,这里我们将其类比为影视娱乐类资源类的PT(Private tracker)下载站点。黑产从业者通过相关地下论坛进行攻击者招募、交流咨询、投放广告等运营活动。通常勒索组织成员会同时活跃在多个地下论坛站点。其中T1erOne的这一模式与此前的RAMP论坛的运作方式极为相似。虽然这种相似性并无法证明T1erOne是RAMP的直接继任者,但从行为习惯上看RAMP的老客户大概率会选择快速迁移,填补被监管查封后的真空。

罗马尼亚石油管道运营商Conpet证实在勒索攻击中数据被窃

罗马尼亚国家石油管道公司Conpet S.A.确认遭到Qilin勒索软件团伙的攻击,导致公司数据被窃取。Conpet是由罗马尼亚能源部控制的一家战略性公司,负责通过3,800公里的管道网络运输原油、天然气和凝析油。

事件发生后的次日,Conpet发布新闻稿称,攻击者突破了其企业IT基础设施,但运营未受到影响。公司目前正在与罗马尼亚国家网络安全局(DNSC)合作进行调查。

Conpet进一步确认,Qilin勒索软件的攻击导致了数据外泄。由于调查仍在进行中,该公司尚未确定被盗数据的具体量。Qilin团伙声称从Conpet的系统中窃取了近1TB的文件,并通过泄露16张含有财务信息和护照扫描件的内部文件样本来证明其入侵。这些文件中包含个人信息,如姓名、邮政地址、个人识别号码和银行账户信息,一些文件标记为机密,日期包含至2025年11月。

Conpet在最新的更新中警告,泄露的数据可能会被用于诈骗活动。该公司建议受影响的个人要警惕来自电话、电子邮件或其他渠道的紧急请求,诈骗者常冒充知名机构员工,要求提供个人或财务信息以便实施欺诈。该公司提醒用户通过官方网站或已验证的社交媒体账户核实此类请求的合法性。

ShinyHunters勒索团伙声称Odido数据泄露事件影响了数百万人

ShinyHunters勒索团伙声称对荷兰电信公司Odido的网络攻击负责,并窃取了数百万用户的个人数据。Odido是荷兰最大的电信公司之一,提供移动通信、宽带和电视服务。该公司在2026年2月12日披露了这次泄露事件,表示攻击者在2月7日通过侵入其客户联系系统获取了大量用户数据。暴露的个人信息包括全名、住址、城市、手机号码、客户编号、电子邮件、银行账户号码(IBAN)、出生日期,以及一些身份证明信息(如护照或驾驶证号和有效期)。

然而,Odido强调此次泄露并未涉及用户密码、通话记录、位置数据、账单信息或身份证件扫描件。Odido在发现泄漏后及时向荷兰数据保护局报告,并通过封锁攻击者的访问权限,以及聘请外部网络安全专家协助来应对该事件。

根据ShinyHunters的声明,他们窃取了近2100万个记录,其中包括Odido此前披露的敏感数据。ShinyHunters还声称获取了Odido的内部公司数据和明文密码,但Odido对此予以否认,表示没有涉及密码或账单信息。ShinyHunters进一步警告称,如果Odido不妥协,他们将公布更多数据并制造其他“麻烦”。

此次攻击与ShinyHunters近期的一系列网络安全事件相关,该团伙还声称对Panera Bread、Betterment、SoundCloud、Canada Goose等多家公司实施过攻击。值得注意的是,ShinyHunters还采用了语音钓鱼(vishing)攻击,并通过滥用OAuth 2.0设备授权流程等方式入侵了多家企业的单点登录(SSO)系统。

黑客信息披露

本月收集到的黑客邮箱信息如下

1. 黑客邮箱

当前,通过双重勒索或多重勒索模式获利的勒索软件家族越来越多,勒索软件所带来的数据泄漏的风险也越来越大。

以下是本月通过数据泄露获利的勒索软件家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。

 

6. 2026年2月通过数据泄露获利的勒索软件家族占比

以下是本月被双重勒索软件家族攻击的企业或个人。若未发现数据存在泄漏风险的企业或个人也请第一时间自查,做好数据已被泄漏准备,采取补救措施。

本月总共有714个组织/企业遭遇双重勒索/多重勒索攻击,其中包含中国17个组织/企业在本月遭遇了双重勒索/多重勒索。其中有22个组织/企业未被标明,因此不在以下表格中。

2. 受害组织/企业

系统安全防护数据分析

360系统安全产品具有黑客入侵防护功能。在本月被攻击的系统版本中,排行前三的依次为Windows 7、Windows 10以及Windows Server 2016。

 

7. 2026年2月受攻击系统占比 

2026年2月被攻击系统所属地域统计发现,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

 

8. 2026年2月国内受攻击地区占比排名 

通过观察2026年2月弱口令攻击态势发现,RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。

 

9. 2026年2月监控到的RDP入侵量

 

10. 2026年2月监控到的MS SQL入侵量

 

11. 2026年2月监控到的MYSQL入侵量

勒索软件关键词

以下是本月上榜活跃勒索软件关键词统计,数据来自360勒索软件搜索引擎。

² wman:属于Wmansvcs家族,高度模仿phobos家族并使用Rust语言编译,目前仅在国内传播。该家族的主要传播方式为:通过暴力破解远程桌面口令,成功后手动投毒。

² rox:属于Weaxor勒索软件家族,该家族目前的主要传播方式为:利用各类软件漏洞进行投毒,通过powershell加载攻击载荷并注入系统进程,多轮加载不同的漏洞驱动与安全软件进行内核对抗。部分版本会通过暴力破解登录数据库,植入Anydesk远控进行手动投毒。

² bixi:属于BeijngCrypt勒索软件家族,由于被加密文件后缀会被修改为beijing而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令与数据库弱口令成功后手动投毒。

² ink:无明确家族归属,需待后续有效反馈再进行研判。

² 888:属于Nemesis2024家族,以勒索信中的Nemesis家族字段命名。该家族的主要传播方式为:通过暴力破解远程桌面口令与数据库口令,成功后手动投毒。

² baxia:同bixi。

² devicdata属于TargetCompany(Mallox)勒索软件家族,由于被加密文件后缀会被修改为mallox而成为关键词。主要通过暴力破解远程桌面口令成功后手动投毒和SQLGlobeImposter渠道进行传播,后来增加了漏洞利用的传播方式。此外360安全大脑监控到该家族曾通过匿影僵尸网络进行传播。

² mallox:同devicdata

² xor:无明确家族归属,通常在一些验证类勒索测试中出现。

² mtullo:新增勒索家族或变种,由于相关受害者均未配合进行溯源分析,故待后续有效反馈再进行研判。

 

12. 2026年2月反病毒搜索引擎关键词搜索排名

解密大师

从解密大师本月解密数据看,解密量最大的是Phobos,其次是Crysis。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备。

 

13. 2026年2月解密大师解密文件数及设备数排名

360安全卫士

热点排行

用户
反馈 返回
顶部