全网唯一标准王
勒索软件流行态势分析 2025年10月 三六零数字安全科技集团|高级威胁研究分析中心360数字安全——数字安全的领导者 第1页勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新 型勒索软件的快速蔓延,企业数据泄漏风险不断上升,勒索金额在数百万到近亿美元的 勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广,危害性也越来越 大。360全网安全大脑针对勒索软件进行了全方位的监测与防御,为需要帮助的用户提 供360反勒索服务。 2025年10月,全球新增的双重勒索软件有Tengu、Kyber、Genesis、Brotherhood、 Radiant、Nasirsecurity等多个家族,传统勒索软件家族新增Monkey、ThunderKitty、 BrawLocker等多个家族。其中Monkey家族有明显的AI生成痕迹,在其Linux版本的样 本中存在删除Windows卷影副本的代码。BrawLocker则使用Powershell脚本通过投毒 者手动输入密钥加密Braw后缀的文件,此类文件是BlackmagicDesign的Blackmagic RAW原始视频格式,用来保存摄像机传感器的原始影像数据和元数据,以便在后期进行 高动态范围调色与处理。 加密后缀为spmodvf的勒索软件已经在国内持续传播数月,已在本月冲入TOP榜单。 遗憾的是,该勒索软件受害者数月来无一例配合进行溯源分析,而是第一时间选择重装 或重置系统。而从运维人员反馈看,该家族勒索软件的受害者多集中在医疗行业。根据 11月1日起开始实施的《国家网络安全事件报告管理办法》相关规定,对于此类网络安 全事件的报告已成为法定义务。在国家对网络安全的日益重视,以及相关法律法规日趋 完善的背景下,我们相信今后对此类勒索攻击事件的溯源工作可以开展得更加顺利。 以下是本月值得关注的部分热点: 美国航空子公司EnvoyAir遭Oracle数据窃取攻击 零售巨头无印良品因供应商遭勒索攻击而停止在线销售 Qilin勒索软件在Windows中利用WSL来运行Linux加密器360数字安全——数字安全的领导者 第2页基于对360反勒索服务数据的分析研判,360数字安全集团高级威胁研究分析中心 (CCTGA勒索软件防范应对工作组成员)发布本报告。360数字安全——数字安全的领导者 第3页感染数据分析 针对本月勒索软件受害者设备所中病毒家族进行统计:Weaxor家族占比38.06%居 首位,第二的是Wmansvcs占比21.64%,LockBit家族以8.96%占比位居第三。 图1.2025年10月勒索软件家族占比 对本月受害者所使用的操作系统进行统计,位居前三的是:Windows10、Windows Server2012以及WindowsServer2008。 图2.2025年10月勒索软件入侵操作系统占比360数字安全——数字安全的领导者 第4页2025年10月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型 服务器小幅领先桌面PC。 图3.2025年10月勒索软件入侵操作系统类型占比360数字安全——数字安全的领导者 第5页勒索软件热点事件 美国航空子公司EnvoyAir遭Oracle数据窃取攻击 美国航空子公司EnvoyAir确认遭受Oracle数据窃取攻击。根据报道,Cl0p勒索 软件团伙通过OracleE-BusinessSuite应用程序,窃取了EnvoyAir的部分商业信息 和联系方式,并将美国航空列入其数据泄露网站。尽管EnvoyAir表示未发现敏感或客 户数据被泄露,但该事件仍然引起了广泛关注。 此次安全事件源自Cl0p团伙对OracleE-BusinessSuite系统的攻击。早在2024 年8月,Cl0p就利用一个零日漏洞(CVE-2025-61882)侵入多个组织,部署恶意软件并 窃取数据。尽管Oracle曾表示攻击者利用的漏洞已在7月修复,但后续情况表明,攻 击者利用了这一未修补的零日漏洞。Cl0p团伙并未披露受影响的具体公司数量,但据了 解,至少有数十家组织遭到数据窃取。 此外,Cl0p团伙还在同一波攻击中向哈佛大学施压,即便只有少数与该校某小型行 政单元相关的人员受到影响。Cl0p此前已在2023年通过多个漏洞攻击多个平台,如 MOVEitTransfer和GoAnywhereMFT,导致全球上千家公司的数据遭窃。 Cl0p自2019年起开始活跃,最初以加密勒索为主,之后转向利用零日漏洞窃取数 据,已成为全球最知名的勒索软件团伙之一。美国国务院目前提供1000万美元奖励, 寻求与该团伙活动相关的外国政府信息。 零售巨头无印良品因供应商遭勒索攻击而停止在线销售 近日,日本零售公司无印良品因其配送合作伙伴Askul遭遇勒索软件攻击,导致无 印良品的在线商店服务暂停。此次事件影响了包括在线购物、订单历史查看和网页内容 显示等多个服务功能。无印良品在日本时间周日晚间宣布暂停相关服务,并在周一下午 的更新内容中表示,除在线购买和申请月度服务外,其他功能已恢复。公司目前正在调360数字安全——数字安全的领导者 第6页查哪些订单受到影响,并计划通过邮件通知受影响的客户。 Askul,作为一个主要处理办公用品及物流业务的电商平台,确认遭遇勒索病毒攻 击,导致其网站和订单处理系统瘫痪。这次攻击造成了多个业务中断,包括退货申请、 收据邮寄、目录邮寄等服务暂停。同时,通过电话或网站也无法联系Askul客服。Askul 正在调查是否有个人信息泄露,截至目前,尚未有勒索软件团伙宣布对此次攻击负责。 因Askul专门处理无印良品在日本地区的订单,此次攻击事件仅影响无印良品在日 本的业务,无印良品在其他国家的门店运营正常,没有受到此次攻击影响。 Qilin勒索软件在Windows中利用WSL来运行Linux加密器 Qilin勒索软件利用WindowsSubsystemforLinux(WSL)技术,绕过传统的安全 防护,成功在Windows系统上运行Linux加密程序,成为当前最活跃的勒索软件之一。 Qilin最初以“Agenda”之名于2022年8月出现,随后于9月改名为Qilin。到2025 年下半年,该勒索软件每月攻击超过40个新受害者,覆盖62个国家,影响极广。 Qilin的攻击手段主要包括使用远程访问工具(如AnyDesk、ScreenConnect和 Splashtop)入侵目标网络,窃取凭证和数据。同时,攻击者还利用Windows自带工具 (如MicrosoftPaint和Notepad)来扫描文档中的敏感信息。此外,Qilin勒索软件 还采用了“BYOVD”(自带漏洞驱动)攻击技术,通过安装漏洞驱动程序(如eskle.sys) 禁用安全软件,并使用“dark-kill”和“HRSword”工具清除其恶意活动痕迹。 最具创新性的是,Qilin攻击者通过WSL在Windows系统上执行Linux加密程序。 由于Qilin的加密程序是ELF格式的Linux可执行文件,无法直接在Windows系统上运 行,因此攻击者利用WSL功能,在Windows境中运行这些程序,成功规避了许多传统 Windows安全工具的检测。这种方法显示了勒索软件家族如何适应混合Windows和Linux 环境,进一步增强其攻击能力。360数字安全——数字安全的领导者 第7页通过这种方法,Qilin勒索软件能够最大化提升其攻击范围,并绕过许多依赖于 Windows操作系统行为的防御机制,使得检测和防范变得更加困难。

.pdf文档 360 2025年10月勒索软件流行态势分析

文档预览
中文文档 22 页 50 下载 1000 浏览 0 评论 309 收藏 3.0分
温馨提示:本文档共22页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
360 2025年10月勒索软件流行态势分析 第 1 页 360 2025年10月勒索软件流行态势分析 第 2 页 360 2025年10月勒索软件流行态势分析 第 3 页
下载文档到电脑,方便使用
本文档由 人生无常 于 2025-11-08 00:54:35上传分享
友情链接
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。