勒索软件流行态势分析 2025年8月 三六零数字安全科技集团|高级威胁研究分析中心360数字安全——数字安全的领导者 第1页勒索软件传播至今，360反勒索服务已累计收到数万次勒索软件感染求助。随着新 型勒索软件的快速蔓延，企业数据泄漏风险不断上升，勒索金额在数百万到近亿美元的 勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越 大。360全网安全大脑针对勒索软件进行了全方位监测与防御，为需要帮助的用户提供 360反勒索服务。 2025年8月，全球新增的双重勒索软件有Desolator家族，传统勒索软件家族新增 Cephalus、Pear、Charon等家族。本月安全研究人员发现了首款使用AI模型驱动的勒 索软件PromptLock，使用Go语言编写，通过OllamaAPI与本地托管的LLM通信。 目前尚处在演进阶段的PromptLock勒索软件的攻击流程： 1.生成恶意脚本 通过硬编码的提示词，利用大语言模型动态生成跨平台兼容的Lua脚本。这些脚本 支持Windows、Linux和MacOS系统。 2.枚举文件系统 生成的Lua脚本会遍历本地文件系统，识别并定位目标文件。 3.检查目标文件 对已识别的文件进行内容分析，筛选出符合条件（如敏感数据或特定文件类型）的 目标文件。 4.数据外泄 将筛选后的目标文件通过隐蔽通道外泄至攻击者控制的服务器，可用于后续勒索威 胁。 5.文件加密 使用SPECK128位加密算法对目标文件进行加密，使受害者无法访问原始数据。加 密完成后，通常会留下勒索信息要求支付赎金。 此类勒索攻击手法由于Lua脚本的跨平台兼容性，攻击流程在不同操作系统中具有 一致性。借助AI的动态生成能力，可能使攻击行为更灵活，例如，根据目标环境调整 文件筛选逻辑或加密策略。 360安全大脑预测，后续随着AI能力的扩展，此类勒索软件在用户环境下可能的演 进方向将包含： 1.检测本地系统与软件环境，创建对应环境的漏洞利用脚本，进行提权与持360数字安全——数字安全的领导者 第2页久化。 2.针对本地环境中使用Lua脚本的游戏与应用软件进行白利用劫持，以绕过 绝大部分安全软件检测。 3.针对自身创建脚本进行混淆，以及利用多种技术方式，尝试致盲、关闭本 地的安全防护。 4.根据本地检测到的环境信息与对攻击目标的画像理解，生成可信度更高的、 定制化的勒索信文件与电子邮件。 5.检测选择非工作时段且无用户操作的时机进行文件加密，同时删除各类企 业备份数据，断绝目标及时止损的可能。 以下是本月值得关注的部分热点： 日产确认设计工作室数据泄露并遭Qilin勒索软件 Colt在Warlock勒索软件拍卖文件后确认客户数据被盗 人力资源巨头Workday在Salesforce攻击后披露数据泄露 基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心 （CCTGA勒索软件防范应对工作组成员）发布本报告。360数字安全——数字安全的领导者 第3页感染数据分析 针对本月勒索软件受害者设备所中病毒家族进行统计：Weaxor家族占比51.82%居 首位，第二的是Wmansvcs占比13.18%，LockBit家族以8.64%位居第三。 图1.2025年8月勒索软件家族占比 对本月受害者所使用的操作系统进行统计，位居前三的是：Windows10、Windows Server2012以及WindowsServer2008。 图2.2025年8月勒索软件入侵操作系统占比360数字安全——数字安全的领导者 第4页2025年8月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌 面PC小幅领先于服务器。 图3.2025年8月勒索软件入侵操作系统类型占比360数字安全——数字安全的领导者 第5页勒索软件热点事件 日产确认设计工作室数据泄露并遭Qilin勒索软件勒索 日产日本公司向媒体证实，攻击者在未经授权的情况下访问了其子公司Creative BoxInc.(CBI）的服务器，导致数据泄露。 2025年8月16日，日产签约的设计公司CBI在其数据服务器上检测到可疑访问。 该公司立即实施紧急措施，如阻止所有访问服务器等，以减轻风险，并向警方报告了该 事件。 而Qilin勒索软件于2025年8月20日在暗网上的勒索门户网站上添加了CBI条目， 并声称窃取了所有设计项目，还威胁要将其公之于众，使竞争对手获得优势。同时，攻 击者还发布了16张被盗数据的照片，作为他们勒索的证据，这些照片描绘了3D汽车设 计、电子表格、文档和汽车内部图像。 日产表示，目前正在对该事件进行调查，但已经证实了数据泄露事件。日产表示， 泄露的数据只会影响日产，因为日产是CBI的唯一客户。因此，被盗数据不会暴露客户、 承包商或任何其他公司或个人。 Colt在Warlock勒索软件拍卖文件后确认客户数据被盗 英国电信公司ColtTechnologyServices证实，随着Warlock勒索软件团伙拍卖 其窃取到的文件，该公司的部分客户文件已被泄露。这家英国电信和网络服务提供商此 前披露其8月12日曾遭到攻击，但这是他们第一次确认数据被盗。该声明是在Warlock 集团在Ramp网络犯罪论坛上出售他们声称从Colt窃取100万份文件之后发表的，这些 文件以20万美元的价格出售，据称包含财务信息、网络架构数据和客户信息。 媒体已确认论坛帖子中列出的ToxID与早期版本勒索软件团伙所使用的ID相匹配。 虽然目前尚不确定本次对Colt勒索的赎金金额具体是多少，但此前该勒索软件团伙的360数字安全——数字安全的领导者 第6页赎金诉求通常在45万至数百万美元之间。 人力资源巨头Workday在Salesforce攻击后披露数据泄露 在最近的一次社会工程学攻击中，人力资源巨头Workday被攻击者窃取了对第三方 客户关系管理（CRM）平台的访问权限后，披露了此次数据泄露事件。8月15日，该公 司透露，攻击者可以访问存储在受损的CRM系统上的一些信息，并补充说没有客户账户 受到影响。然而，目前此次事件中被窃取的一些业务联系信息已经曝光，包括可用于后 续攻击的客户数据——其中重要的是一些常见的商业联系信息，如姓名、电子邮件地址 和电话号码，这些数据可能会进一步推动攻击者的社会工程骗局。 在发给可能受影响的客户的另一份通知中，该公司补充说该漏洞大约是在8月6日 发现的。攻击者通过短信或电话与员工联系，假装来自人力资源或IT部门，试图诱骗 他们泄露账户访问或个人信息。虽然该公司没有直接确认，但据媒体了解，本次事件可 能是与ShinyHunters勒索集团相关的一波安全漏洞的一部分，该勒索集团通过社会工 程学和语音网络钓鱼攻击SalesforceCRM实例。 黑客信息披露 以下是本月收集到的黑客邮箱信息： [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]@onionmail. [email protected]数字安全——数字安全的领导者 第7页[email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] Answer:[email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] worm01@india.