年度勒索软件流行态势报告发布:攻击生态趋于联盟化,目标聚焦政企数据库
封面新闻记者 雷强
1月16日,360数字安全集团以2025年全年勒索软件事件监测、分析与处置数据为基石,融合国内外一线安全态势数据、权威研究报告及国际热点事件情报,经综合研判梳理后发布了《2025年勒索软件流行态势报告》(以下简称“报告”)。
该报告基于对勒索软件传播特征、演变规律与发展趋势的深度剖析,系统性解构了其背后生态链的演进逻辑,旨在助力政企机构构建覆盖“监测预警、应急响应、长效防护”的体系化防御能力,为数字安全建设提供有力的实践指引与策略支撑。
勒索态势整体平稳
加密技术转向性能竞逐
报告显示,2025年我国勒索软件传播态势总体延续了2024年以来的相对平稳状态,虽不断涌现新的勒索家族且传统团伙攻击仍频繁,对个人、企业与政府机构持续形成威胁,但未出现单一勒索软件在短期内引发大规模爆发的情况。这一方面得益于安全厂商技术能力的持续提升与协同应对,另一方面也源于各类用户安全意识的普遍增强。
从勒索软件家族分布来看,PC端仍以Weaxor、LockBit与Wmansvcs三大老牌家族及其变种为主。Weaxor凭借Web漏洞利用等手段占据传播榜首,并在攻击中结合漏洞驱动进行内核对抗以提升成功率;Wmansvcs则承接了Phobos的传播模式,主要在国内通过远程桌面弱口令爆破传播;LockBit在年底以5.0版本回归,并引入第三方黑产团伙协作,进一步扩大了其威胁生态。
此外,报告指出,当前主流勒索家族普遍采用对称加密处理大规模文件数据,并以非对称或椭圆曲线算法保护密钥,构成兼顾强度与效率的多级加密方案,演化重点正从方案设计转向执行效率优化,以提升加密速度并降低暴露风险。
从传播方式看,勒索软件的传播手段依然是以远程桌面和漏洞利用两种为主,仅这两种传播途径就占到了总量的近八成。其中,远程桌面入侵目前仍是导致勒索感染的主要途径,但其优势正在缩小,漏洞利用的比例已与之十分接近。远程桌面攻击持续高发,主要因为该手段已形成成熟的入侵工具链,加之大量中小企业和日益增多的家庭用户在公网上开放相关端口且缺乏有效防护。
与此同时,漏洞利用攻击主要集中在Web应用及各类管理系统的安全弱点上,已成为当前勒索传播中增长迅速且危害突出的重要渠道。
双重勒索已成主流
攻击生态趋于联盟协作
数据作为企业核心资产,其泄露不仅造成经济损失,更影响声誉、合规与业务连续性。在此背景下,当前勒索攻击模式不断演变,已从单纯加密数据演变为多重胁迫的复杂策略。
报告显示,2025年参与双重/多重勒索的活跃勒索软件家族达到122个,较2024年增长近三成。其中,头部Top10家族仍占据主导地位,但更多新兴家族占比显著提升,呈现出明显的长尾分布态势。
与去年相比,2025年数据泄露事件高度集中于服务业与制造业,其次为建筑、医疗与金融业。这一变化源于勒索攻击日益聚焦于设备规模大、数据价值高的中大型企业。此外,教育、能源等行业亦位列前十,凸显相关领域亟需加强勒索防护。目前已公开的被勒索企业中,美国企业以超过半数的占比位居榜首,我国亦有企业上榜,占比约1.46%。