勒索軟件傳播至今，360反勒索服務(wù)已累計(jì)接收到數(shù)萬(wàn)勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)不斷上升，勒索金額在數(shù)百萬(wàn)到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個(gè)人帶來(lái)的影響范圍越來(lái)越廣，危害性也越來(lái)越大。360全網(wǎng)安全大腦針對(duì)勒索軟件進(jìn)行了全方位的監(jiān)測(cè)與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2025年3月，全球新增的雙重勒索軟件家族有Babuk2、Crazyhunter、Nightspire、Ralord、VanHelsing、Weyhro、Skira、Secp0、Arkana等。

其中Babuk2是Babuk勒索軟件的后續(xù)變種，運(yùn)營(yíng)者對(duì)Babuk勒索家族進(jìn)行了仿冒。主要針對(duì)VMware ESXi平臺(tái)實(shí)施攻擊，采用AES+RSA加密算法及雙重勒索策略（加密文件并竊取數(shù)據(jù)），Babuk代碼因在暗網(wǎng)部分泄露而增強(qiáng)了傳播威脅。

CrazyHunter最早現(xiàn)身于2025年2月，其使用Prince家族泄露源碼構(gòu)建。利用污染的USB設(shè)備作為初始攻擊載體。當(dāng)前該家族攻擊的10個(gè)目標(biāo)全部為中國(guó)臺(tái)灣企業(yè)，涉及教育、醫(yī)療、體育、科技等行業(yè)。

NightSpire攻擊主要利用FortiOS漏洞（CVE-2024-55591）獲取管理員權(quán)限進(jìn)行初始訪問(wèn)，隨后進(jìn)行橫向移動(dòng)攻擊。喜好對(duì)受害者進(jìn)行施壓，要求2天內(nèi)支付并公開(kāi)拒絕付款企業(yè)信息以削弱受害企業(yè)聲譽(yù)。

RALord利用Python/Rust開(kāi)發(fā)加密器，以RC4+PRGA算法加密文件（擴(kuò)展名.RALord），重點(diǎn)攻擊Fortinet、SonicWall、Cisco等企業(yè)設(shè)備，并偏好暴力破解與CVE漏洞利用；該組織以高分成比例吸引附屬機(jī)構(gòu)，提供工具鏈與暗網(wǎng)服務(wù)，疑似關(guān)聯(lián)已關(guān)閉的RA World（曾用Go存儲(chǔ)樣本，與停運(yùn)的FunkSec代碼部分相似）。

VanHelsing勒索家族采用C++編寫(xiě)，支持 Windows、Linux、BSD、ARM、ESXi系統(tǒng)，具備跨平臺(tái)威脅能力。運(yùn)營(yíng)方要求加盟者禁止攻擊獨(dú)聯(lián)體國(guó)家，并通過(guò)區(qū)塊鏈驗(yàn)證的5000美元保證金準(zhǔn)入（優(yōu)質(zhì)攻擊者可豁免）。加盟者分成80%，運(yùn)營(yíng)方抽取20%。

以下是本月值得關(guān)注的部分熱點(diǎn)：

• CISA稱Medusa勒索軟件攻擊了300多個(gè)關(guān)鍵基礎(chǔ)設(shè)施組織

• EncryptHub利用Windows的0day漏洞部署勒索軟件

• 勒索軟件從網(wǎng)絡(luò)攝像頭對(duì)網(wǎng)絡(luò)進(jìn)行加密以繞過(guò)EDR

基于對(duì)360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級(jí)威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）發(fā)布本報(bào)告。

感染數(shù)據(jù)分析

針對(duì)本月勒索軟件受害者設(shè)備所中病毒家族進(jìn)行統(tǒng)計(jì)：Weaxor家族占比35.97%居首位，第二的是RNTC占比22.30%的，Makop家族以15.51%位居第三。

其中：Weaxor家族最早出現(xiàn)于2024年11月，是Mallox家族的變種版本。該團(tuán)伙重點(diǎn)攻擊國(guó)內(nèi)的用友NC、億賽通、藍(lán)凌、明源、智邦、靈當(dāng)、致遠(yuǎn)OA、SQLServer等Web應(yīng)用和數(shù)據(jù)庫(kù)，針對(duì)部分機(jī)器投遞CobaltStrike進(jìn)行遠(yuǎn)程控制，針對(duì)部分機(jī)器投遞勒索病毒。

自2025年1月起此家族持續(xù)霸榜Top1，贖金范圍從8千到1.5萬(wàn)人民幣間波動(dòng)。

圖1. 2025年3月勒索軟件家族占比

對(duì)本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows 10、Windows 7以及Windows Server 2012。

圖2. 2025年3月勒索軟件入侵操作系統(tǒng)占比

2025年3月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型桌面PC大幅領(lǐng)先服務(wù)器，NAS平臺(tái)以內(nèi)網(wǎng)SMB共享加密為主。

圖3. 2025年3月勒索軟件入侵操作系統(tǒng)類型占比?

勒索軟件熱點(diǎn)事件

CISA稱Medusa勒索軟件攻擊了300多個(gè)關(guān)鍵基礎(chǔ)設(shè)施組織

美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）表示，截至上個(gè)月，Medusa勒索軟件攻擊行動(dòng)已影響到美國(guó)關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的300多家機(jī)構(gòu)。這一情況是在CISA與美國(guó)聯(lián)邦調(diào)查局（FBI）以及多州信息共享與分析中心（MS-ISAC）近日聯(lián)合發(fā)布的一份公告中披露的。

CISA、FBI和MS-ISAC在3月11日發(fā)出警告稱：“截至2025年2月，Medusa勒索軟件的開(kāi)發(fā)者及其關(guān)聯(lián)方已影響到來(lái)自多個(gè)關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的300多個(gè)受害者，受影響的行業(yè)包括醫(yī)療、教育、法律、保險(xiǎn)、科技和制造業(yè)?！薄癋BI、CISA和MS-ISAC鼓勵(lì)各機(jī)構(gòu)實(shí)施本公告‘緩解措施’部分中的建議，以降低Medusa勒索軟件事件發(fā)生的可能性并減輕其影響?！?/span>

正如公告所解釋的，為防范Medusa勒索軟件攻擊，建議防御者采取以下措施：

l? 修復(fù)已知的安全漏洞，確保操作系統(tǒng)、軟件和固件在合理時(shí)間內(nèi)完成補(bǔ)丁更新。

l? 對(duì)網(wǎng)絡(luò)進(jìn)行分段，限制受感染設(shè)備與機(jī)構(gòu)內(nèi)其他設(shè)備之間的橫向移動(dòng)。

l? 過(guò)濾網(wǎng)絡(luò)流量，阻止來(lái)自未知或不可信源對(duì)內(nèi)部系統(tǒng)遠(yuǎn)程服務(wù)的訪問(wèn)。

Medusa勒索軟件大約在四年前，即2021年1月首次出現(xiàn)。但該犯罪團(tuán)伙的活動(dòng)直到兩年后的2023年才開(kāi)始增多。當(dāng)時(shí)，他們推出了Medusa Blog數(shù)據(jù)泄露網(wǎng)站，以被盜數(shù)據(jù)為籌碼施壓受害者支付贖金。自出現(xiàn)以來(lái)，該團(tuán)伙聲稱在全球有400多個(gè)受害者。2023年3月，在宣稱對(duì)明尼阿波利斯公立學(xué)校區(qū)（MPS）發(fā)動(dòng)攻擊并分享被盜數(shù)據(jù)視頻后，該團(tuán)伙引起了媒體的關(guān)注。 2023年11月，豐田汽車公司旗下的豐田金融服務(wù)公司拒絕支付800萬(wàn)美元的贖金要求并通知客戶數(shù)據(jù)泄露后，該團(tuán)伙還在其暗網(wǎng)勒索門(mén)戶上泄露了據(jù)稱從該公司竊取的文件。

EncryptHub利用Windows的0day漏洞部署勒索軟件

名為EncryptHub的攻擊組織與利用本月修補(bǔ)的Microsoft管理控制臺(tái)漏洞的Windows系統(tǒng)0day攻擊有關(guān)。

研究人員發(fā)現(xiàn)，此安全功能繞過(guò)（CVE-2025-26633）存在于易受攻擊設(shè)備上的MSC文件處理方式中。攻擊者可以利用該漏洞來(lái)規(guī)避Windows文件信譽(yù)保護(hù)并執(zhí)行代碼，因?yàn)樵谖葱扪a(bǔ)的設(shè)備上加載意外的MSC文件之前，用戶不會(huì)收到警告。

研究人員在向Microsoft報(bào)告漏洞之前發(fā)現(xiàn)的攻擊中，EncryptHub（也稱為Water Gamayun或Larva-208）使用編號(hào)為CVE-2025-26633的0day漏洞來(lái)執(zhí)行惡意代碼并從受感染的系統(tǒng)中提取數(shù)據(jù)。在整個(gè)攻擊活動(dòng)中，攻擊組織部署了多個(gè)與之前的EncryptHub攻擊相關(guān)的惡意負(fù)載，包括EncryptHub竊取程序、DarkWisp后門(mén)、SilentPrism后門(mén)、Stealc、Rhadamanthys竊取程序和基于PowerShell的MSC EvilTwin木馬加載程序。

此外，EncryptHub還會(huì)部署勒索軟件載荷，其主要合作的勒索組織為RansomHub和BlackSuit。

值得一提的是，EncryptHub攻擊組織在廣泛進(jìn)行各類攻擊活動(dòng)外，還以“SkorikARI”名義向微軟提交漏洞（如CVE-2025-24071、CVE-2025-24061），并獲得了微軟官方致謝。

勒索軟件從網(wǎng)絡(luò)攝像頭對(duì)網(wǎng)絡(luò)進(jìn)行加密以繞過(guò)EDR

有人發(fā)現(xiàn)Akira勒索軟件團(tuán)伙利用一臺(tái)未受保護(hù)的網(wǎng)絡(luò)攝像頭對(duì)受害者的網(wǎng)絡(luò)發(fā)動(dòng)加密攻擊，成功繞過(guò)了原本在Windows系統(tǒng)中阻止加密程序的端點(diǎn)檢測(cè)與響應(yīng)（EDR）系統(tǒng)。

值得注意的是，Akira團(tuán)伙最初試圖在Windows系統(tǒng)上部署加密程序，但被受害者的EDR解決方案攔截，之后才轉(zhuǎn)而利用網(wǎng)絡(luò)攝像頭發(fā)動(dòng)攻擊。這些攻擊者最初是通過(guò)目標(biāo)公司暴露在外的遠(yuǎn)程訪問(wèn)解決方案進(jìn)入企業(yè)網(wǎng)絡(luò)的，很可能是利用了被盜的憑證或通過(guò)暴力破解密碼得逞。進(jìn)入網(wǎng)絡(luò)后，他們部署了合法的遠(yuǎn)程訪問(wèn)工具“AnyDesk”，竊取了該公司的數(shù)據(jù)，用于實(shí)施雙重勒索攻擊。接著，Akira團(tuán)伙使用遠(yuǎn)程桌面協(xié)議（RDP）進(jìn)行橫向移動(dòng)，在部署勒索軟件有效負(fù)載之前，盡可能地將其控制范圍擴(kuò)展到更多系統(tǒng)。最終，攻擊者投放了一個(gè)受密碼保護(hù)的ZIP文件（win.zip ），其中包含勒索軟件有效載荷（win.exe），但受害者的EDR工具檢測(cè)到并隔離了該文件，基本上阻止了這次攻擊。

此次攻擊失敗后，Akira團(tuán)伙開(kāi)始探尋其他攻擊途徑，他們對(duì)網(wǎng)絡(luò)進(jìn)行掃描，尋找可用于加密文件的其他設(shè)備，結(jié)果發(fā)現(xiàn)了一臺(tái)網(wǎng)絡(luò)攝像頭和指紋掃描儀。攻擊者選擇網(wǎng)絡(luò)攝像頭是因?yàn)樗菀资艿竭h(yuǎn)程shell訪問(wèn)攻擊，并且其視頻流可以被未經(jīng)授權(quán)查看。此外，該攝像頭運(yùn)行的是基于Linux的操作系統(tǒng)，與Akira的Linux加密程序兼容，而且它沒(méi)有安裝EDR代理，因此是遠(yuǎn)程加密網(wǎng)絡(luò)共享文件的理想設(shè)備。

安全分析團(tuán)隊(duì)證實(shí)，攻擊者利用網(wǎng)絡(luò)攝像頭的Linux操作系統(tǒng)掛載了該公司其他設(shè)備的Windows SMB網(wǎng)絡(luò)共享。然后，他們?cè)诰W(wǎng)絡(luò)攝像頭上啟動(dòng)了Linux加密程序，并通過(guò)SMB協(xié)議對(duì)網(wǎng)絡(luò)共享進(jìn)行加密，成功繞過(guò)了網(wǎng)絡(luò)上的EDR軟件。

這個(gè)案例表明，EDR防護(hù)并非萬(wàn)能的安全解決方案，企業(yè)不應(yīng)僅僅依賴它來(lái)防范攻擊。此外，物聯(lián)網(wǎng)設(shè)備不像計(jì)算機(jī)那樣受到密切監(jiān)控和維護(hù)，但仍然構(gòu)成重大風(fēng)險(xiǎn)。因此，這類設(shè)備應(yīng)與生產(chǎn)服務(wù)器和工作站等更為敏感的網(wǎng)絡(luò)隔離開(kāi)來(lái)。同樣重要的是，所有設(shè)備（包括物聯(lián)網(wǎng)設(shè)備）都應(yīng)定期更新固件以修復(fù)可能在攻擊中被利用的已知漏洞。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當(dāng)前，通過(guò)雙重勒索或多重勒索模式獲利的勒索軟件家族越來(lái)越多，勒索軟件所帶來(lái)的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來(lái)越大。以下是本月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時(shí)間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個(gè)人，可能不會(huì)出現(xiàn)在這個(gè)清單中）。

圖4. 2025年3月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請(qǐng)第一時(shí)間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有634個(gè)組織/企業(yè)遭遇勒索攻擊，其中包含中國(guó)16個(gè)組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有2個(gè)組織/企業(yè)未被標(biāo)明，因此不在以下表格中。

表2. 受害組織/企業(yè)

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

圖5 2025年3月受攻擊系統(tǒng)占比

對(duì)2025年3月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn)，與之前幾個(gè)月采集到的數(shù)據(jù)進(jìn)行對(duì)比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對(duì)象。

圖6. 2025年3月國(guó)內(nèi)受攻擊地區(qū)占比排名

通過(guò)觀察2025年3月弱口令攻擊態(tài)勢(shì)發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無(wú)較大波動(dòng)。

圖7. 2025年3月監(jiān)控到的RDP入侵量

圖8. 2025年3月監(jiān)控到的MS SQL入侵量

圖9. 2025年3月監(jiān)控到的MYSQL入侵量?

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來(lái)自360勒索軟件搜索引擎。

2? wxr：屬于Weaxor勒索軟件家族，該家族目前的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，以及類軟件漏洞利用方式進(jìn)行投毒。

2? wstop： RNTC勒索軟件家族，該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，同時(shí)通過(guò)smb共享方式加密其他設(shè)備。

2? bixi：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會(huì)被修改為beijing而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫(kù)弱口令成功后手動(dòng)投毒。

2? mkp: 屬于Makop勒索軟件家族，由于被加密文件后綴會(huì)被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

2? sstop：同wstop。

2? baxia：同bixi。

2? 888：屬于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。devicdata：同hmallox。

2? wex：同wxr。

2? wxx：同wxr。

2? devicdata：屬于TargetCompany(Mallox)勒索軟件家族，由于被加密文件后綴會(huì)被修改為mallox而成為關(guān)鍵詞。該分支主要通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

圖10 2025年3月反病毒搜索引擎關(guān)鍵詞搜索排名

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是Stop其次是FreeFix。使用解密大師解密文件的用戶數(shù)量最高的是被Crysis家族加密的設(shè)備。

圖11. 2025年3月解密大師解密文件數(shù)及設(shè)備數(shù)排名